Operação policial world interrompe serviço de phishing 'LabHost', mais de 30 presos em todo o mundo
Cerca de 37 pessoas foram presas como parte de uma repressão internacional a um serviço de crimes cibernéticos chamado LabHost que tem sido usado por criminosos para roubar credenciais pessoais de vítimas em todo o mundo.
Descrito como um dos maiores provedores de phishing como serviço (PhaaS), o LabHost oferecia páginas de phishing direcionadas a bancos, organizações de alto perfil e outros provedores de serviços localizados principalmente no Canadá, nos EUA e no Reino Unido.
Como parte da operação, de codinome PhishOFF e Nebulae (referindo-se ao braço australiano da investigação), dois usuários do LabHost de Melbourne e Adelaide foram presos em 17 de abril, com outros três presos e acusados de crimes relacionados a drogas.
“Os infratores australianos estão supostamente entre os 10.000 cibercriminosos em todo o mundo que usaram a plataforma, conhecida como LabHost, para induzir as vítimas a fornecerem suas informações pessoais, como logins de bancos on-line, detalhes de cartão de crédito e senhas, por meio de ataques de phishing persistentes enviados por textos e e-mails, “, afirmou a Polícia Federal Australiana (AFP) em comunicado.
O esforço coordenado liderado pela Europol também testemunhou a detenção de 32 outros indivíduos entre 14 e 17 de abril, incluindo quatro no Reino Unido que são alegadamente responsáveis pelo desenvolvimento e gestão do serviço. No complete, foram pesquisados 70 endereços em todo o mundo.
Coincidindo com as prisões, LabHost (“lab-host(.)ru”) e todos os seus grupos associados de websites de phishing foram confiscados e substituídos por uma mensagem anunciando sua apreensão.
LabHost foi documentado no início deste ano pela Fortra, detalhando seu PhaaS direcionado a marcas populares em todo o mundo por algo entre US$ 179 e US$ 300 por mês. Surgiu pela primeira vez no quarto trimestre de 2021, coincidindo com a disponibilidade de outro serviço PhaaS denominado Frappo.
“A LabHost divide seus kits de phishing disponíveis entre dois pacotes de assinatura separados: uma associação norte-americana que cobre marcas dos EUA e do Canadá, e uma associação internacional que consiste em várias marcas globais (e excluindo as marcas de NA)”, disse a empresa.
De acordo com a Development Micro, o catálogo de modelos do bazar de phishing também se estendeu ao Spotify, serviços postais como DHL e An Put up, serviços de pedágio e seguradoras, além de permitir que os clientes solicitem a criação de páginas de phishing personalizadas para marcas-alvo.
“Como a plataforma cuida da maioria das tarefas tediosas de desenvolvimento e gerenciamento da infraestrutura de páginas de phishing, tudo o que o agente mal-intencionado precisa é de um servidor digital privado (VPS) para hospedar os arquivos e a partir do qual a plataforma possa ser implantada automaticamente”, disse a Development Micro. .
As páginas de phishing – cujos hyperlinks são distribuídos por meio de campanhas de phishing e smishing – são projetadas para imitar bancos, entidades governamentais e outras organizações importantes, enganando os usuários para que insiram suas credenciais e códigos de autenticação de dois fatores (2FA).
Os clientes do package de phishing, que inclui a infra-estrutura para alojar os web sites fraudulentos, bem como os serviços de geração de conteúdos de e-mail e SMS, poderiam então utilizar as informações roubadas para assumir o controlo das contas on-line e efectuar transferências não autorizadas de fundos a partir das contas bancárias das vítimas.
As informações capturadas incluíam nomes e endereços, e-mails, datas de nascimento, respostas padrão a perguntas de segurança, números de cartão, senhas e PINs.
“A Labhost ofereceu um menu de mais de 170 websites falsos, oferecendo páginas de phishing convincentes para seus usuários escolherem”, disse a Europol, acrescentando que agências policiais de 19 países participaram da interrupção.
“O que tornou o LabHost particularmente destrutivo foi sua ferramenta integrada de gerenciamento de campanha chamada LabRat. Esse recurso permitiu que os cibercriminosos implantassem os ataques para monitorar e controlar esses ataques em tempo actual. O LabRat foi projetado para capturar códigos e credenciais de autenticação de dois fatores, permitindo que os criminosos contornassem medidas de segurança reforçadas.”
Diz-se que a infraestrutura de phishing do LabHost inclui mais de 40.000 domínios. Mais de 94.000 vítimas foram identificadas na Austrália e descobriu-se que aproximadamente 70.000 vítimas do Reino Unido inseriram os seus dados num dos websites falsos.
A Polícia Metropolitana do Reino Unido disse que o LabHost recebeu cerca de £ 1 milhão (US$ 1.173.000) em pagamentos de usuários criminosos desde o seu lançamento. Estima-se que o serviço tenha obtido 480 mil números de cartão, 64 mil números PIN, bem como nada menos que um milhão de senhas usadas para websites e outros serviços on-line.
Plataformas PhaaS como LabHost reduzem a barreira de entrada no mundo do crime cibernético, permitindo que atores de ameaças aspirantes e não qualificados montem ataques de phishing em grande escala. Em outras palavras, um PhaaS possibilita terceirizar a necessidade de desenvolver e hospedar páginas de phishing.
“LabHost é mais um exemplo da natureza sem fronteiras do crime cibernético e a remoção reforça os resultados poderosos que podem ser alcançados através de uma frente unida e world de aplicação da lei”, disse o Comissário Assistente Interino do Comando Cibernético da AFP, Chris Goldsmid.
A evolução surge no momento em que a Europol revela que as redes criminosas organizadas são cada vez mais ágeis, sem fronteiras, controladoras e destrutivas (ABCD), sublinhando a necessidade de uma “resposta multilateral concertada, sustentada e de cooperação conjunta”.
