Hasta 37 personas han sido arrestadas como parte de una ofensiva internacional contra un servicio de cibercrimen llamado Anfitrión del laboratorio que ha sido utilizado por actores criminales para robar credenciales personales de víctimas de todo el mundo.
Descrito como uno de los mayores servicios de phishing como servicio (PhaaS) proveedores, LabHost ofrecía páginas de phishing dirigidas a bancos, organizaciones de alto perfil y otros proveedores de servicios ubicados principalmente en Canadá, EE. UU. y el Reino Unido.
Como parte de la operación, con el nombre en código PhishOFF y Nebulae (en referencia al brazo australiano de la investigación), dos usuarios de LabHost de Melbourne y Adelaide fueron arrestados el 17 de abril, y otros tres fueron arrestados y acusados de delitos relacionados con drogas.
«Los delincuentes australianos supuestamente se encuentran entre los 10.000 ciberdelincuentes en todo el mundo que han utilizado la plataforma, conocida como LabHost, para engañar a las víctimas para que proporcionen su información personal, como inicios de sesión bancarios en línea, detalles de tarjetas de crédito y contraseñas, a través de ataques de phishing persistentes enviados a través de mensajes de texto y correos electrónicos. » la Policía Federal Australiana (AFP) dicho en una oracion.
El esfuerzo coordinado liderado por Europol también fue testigo de la detención de otras 32 personas entre el 14 y el 17 de abril, incluidos cuatro en el Reino Unido que supuestamente son responsables del desarrollo y funcionamiento del servicio. En total, se buscaron 70 direcciones en todo el mundo.
Coincidiendo con las detenciones, LabHost («lab-host[.]ru») y todos sus grupos asociados de sitios de phishing han sido confiscados y reemplazados con un mensaje que anuncia su incautación.
LabHost era documentado a principios de este año por Fortra, detallando su PhaaS dirigido a marcas populares a nivel mundial por entre $179 y $300 por mes. Surgió por primera vez en el cuarto trimestre de 2021, coincidiendo con la disponibilidad de otro servicio PhaaS llamado Frappo.
«LabHost divide sus kits de phishing disponibles entre dos paquetes de suscripción separados: una membresía norteamericana que cubre marcas estadounidenses y canadienses, y una membresía internacional que consta de varias marcas globales (y excluye las marcas de NA)», dijo la compañía.
Según Trend Micro, el catálogo de plantillas del bazar de phishing también se extendió a Spotify, servicios postales como DHL y An Post, servicios de peaje de automóviles y proveedores de seguros, además de permitir a los clientes solicitar la creación de páginas de phishing personalizadas para las marcas objetivo.
«Dado que la plataforma se encarga de la mayoría de las tareas tediosas en el desarrollo y gestión de la infraestructura de páginas de phishing, todo lo que el actor malicioso necesita es un servidor privado virtual (VPS) para alojar los archivos y desde el cual la plataforma puede implementar automáticamente», Trend Micro dicho.
Las páginas de phishing, cuyos enlaces se distribuyen a través de campañas de phishing y smishing, están diseñadas para imitar a bancos, entidades gubernamentales y otras organizaciones importantes, engañando a los usuarios para que ingresen sus credenciales y códigos de autenticación de dos factores (2FA).
Los clientes del kit de phishing, que comprende la infraestructura para alojar los sitios web fraudulentos, así como servicios de generación de contenidos de correo electrónico y SMS, podrían utilizar la información robada para tomar el control de las cuentas en línea y realizar transferencias de fondos no autorizadas desde las cuentas bancarias de las víctimas.
La información capturada incluía nombres y direcciones, correos electrónicos, fechas de nacimiento, respuestas a preguntas de seguridad estándar, números de tarjetas, contraseñas y PIN.
«Labhost ofrecía un menú de más de 170 sitios web falsos que ofrecían páginas de phishing convincentes para que sus usuarios pudieran elegir», Europol dichoy agregó que en la interrupción participaron agencias policiales de 19 países.
«Lo que hizo que LabHost fuera particularmente destructivo fue su herramienta integrada de gestión de campañas llamada LabRat. Esta característica permitió a los ciberdelincuentes que implementaban los ataques monitorear y controlar esos ataques en tiempo real. LabRat fue diseñado para capturar credenciales y códigos de autenticación de dos factores, lo que permite a los delincuentes eludir medidas de seguridad reforzadas.»
Se dice que la infraestructura de phishing de LabHost incluye más de 40.000 dominios. Se han identificado más de 94.000 víctimas en Australia y se ha descubierto que aproximadamente 70.000 víctimas del Reino Unido ingresaron sus datos en uno de los sitios falsos.
La policía metropolitana del Reino Unido dicho LabHost ha recibido alrededor de £1 millón ($1,173,000) en pagos de usuarios criminales desde su lanzamiento. Se estima que el servicio obtuvo 480.000 números de tarjetas, 64.000 números PIN, así como nada menos que un millón de contraseñas utilizadas para sitios web y otros servicios en línea.
Las plataformas PhaaS como LabHost reducen la barrera de entrada al mundo del cibercrimen, permitiendo a actores de amenazas aspirantes y no capacitados montar ataques de phishing a escala. En otras palabras, un PhaaS permite subcontratar la necesidad de desarrollar y alojar páginas de phishing.
«LabHost es otro ejemplo de la naturaleza sin fronteras del cibercrimen y su eliminación refuerza los poderosos resultados que pueden lograrse a través de un frente mundial unido de aplicación de la ley», afirmó a la AFP Chris Goldsmid, subcomisionado interino del Comando Cibernético.
El desarrollo se produce cuando Europol reveló que las redes criminales organizadas son cada vez más ágiles, sin fronteras, controladoras y destructivas (ABCD), lo que subraya la necesidad de una «respuesta multilateral concertada, sostenida y una cooperación conjunta».