Operação policial Global interrompe serviço de phishing ‘LabHost’, mais de 30 presos em todo o mundo.

Cerca de 37 pessoas foram presas como parte de uma repressão internacional a um serviço de crimes cibernéticos chamado LabHost , que tem sido usado por criminosos para roubar credenciais pessoais de vítimas ao redor do mundo.

Descrito como um dos maiores provedores de Phishing-as-a-Service ( PhaaS ), o LabHost oferecia páginas de phishing direcionadas a bancos, organizações de alto perfil e outros provedores de serviços localizados principalmente no Canadá, EUA e Reino Unido.

Como parte da operação, cujo codinome é PhishOFF e Nebulae (em referência ao braço australiano da investigação), dois usuários do LabHost de Melbourne e Adelaide foram presos em 17 de abril, e outros três foram presos e acusados ​​de crimes relacionados a drogas.

“Os criminosos australianos estão supostamente entre os 10.000 cibercriminosos no mundo todo que usaram a plataforma, conhecida como LabHost, para enganar as vítimas e fazê-las fornecer suas informações pessoais, como logins de banco on-line, detalhes de cartão de crédito e senhas, por meio de ataques persistentes de phishing enviados por mensagens de texto e e-mails”, disse a Polícia Federal Australiana (AFP) em um comunicado.

O esforço coordenado liderado pela Europol também testemunhou a apreensão de 32 outros indivíduos entre 14 e 17 de abril, incluindo quatro no Reino Unido que são supostamente responsáveis ​​pelo desenvolvimento e execução do serviço. No total, 70 endereços foram pesquisados ​​em todo o mundo.

Coincidindo com as prisões, o LabHost (“lab-host[.]ru”) e todos os seus grupos associados de sites de phishing foram confiscados e substituídos por uma mensagem anunciando sua apreensão.

O LabHost foi documentado no início deste ano pela Fortra, detalhando a segmentação do PhaaS de marcas populares globalmente por algo entre US$ 179 e US$ 300 por mês. Ele surgiu pela primeira vez no quarto trimestre de 2021, coincidindo com a disponibilidade de outro serviço PhaaS chamado Frappo.

“A LabHost divide seus kits de phishing disponíveis entre dois pacotes de assinatura separados: uma assinatura norte-americana que abrange marcas dos EUA e do Canadá, e uma assinatura internacional que consiste em várias marcas globais (e exclui as marcas da América do Norte)”, disse a empresa.

De acordo com a Trend Micro, o catálogo de modelos do bazar de phishing também se estendeu ao Spotify, serviços postais como DHL e An Post, serviços de pedágio e seguradoras, além de permitir que os clientes solicitassem a criação de páginas de phishing personalizadas para marcas-alvo.

“Como a plataforma cuida da maioria das tarefas tediosas no desenvolvimento e gerenciamento da infraestrutura de páginas de phishing, tudo o que o agente malicioso precisa é de um servidor virtual privado (VPS) para hospedar os arquivos e a partir do qual a plataforma pode ser implantada automaticamente”, disse a Trend Micro .

As páginas de phishing – cujos links são distribuídos por meio de campanhas de phishing e smishing – são projetadas para imitar bancos, entidades governamentais e outras grandes organizações, enganando os usuários para que insiram suas credenciais e códigos de autenticação de dois fatores (2FA).

Os clientes do kit de phishing, que compreende a infraestrutura para hospedar sites fraudulentos, bem como serviços de geração de conteúdo de e-mail e SMS, poderiam então usar as informações roubadas para assumir o controle das contas online e fazer transferências de fundos não autorizadas das contas bancárias das vítimas.

As informações capturadas incluíam nomes e endereços, e-mails, datas de nascimento, respostas a perguntas de segurança padrão, números de cartão, senhas e PINs.

“O Labhost ofereceu um menu de mais de 170 sites falsos, fornecendo páginas de phishing convincentes para seus usuários escolherem”, disse a Europol , acrescentando que agências de segurança de 19 países participaram da interrupção.

“O que tornou o LabHost particularmente destrutivo foi sua ferramenta de gerenciamento de campanha integrada chamada LabRat. Esse recurso permitiu que os cibercriminosos que implantavam os ataques monitorassem e controlassem esses ataques em tempo real. O LabRat foi projetado para capturar códigos de autenticação de dois fatores e credenciais, permitindo que os criminosos contornassem medidas de segurança aprimoradas.”

O Group-IB, que encontrou referências ao LabHost no Telegram datadas de 17 de agosto de 2021, disse que o LabRat era um dos muitos serviços anunciados pelo grupo, sendo os outros o LabCVV (loja de cartão de crédito), o LabSend (sistema de entrega de spam por SMS/MMS) e o LabRefund (canais do Telegram e grupos privados onde criminosos ensinam seus clientes a utilizar dados roubados).

Dizem que a infraestrutura de phishing da LabHost inclui mais de 40.000 domínios. Mais de 94.000 vítimas foram identificadas na Austrália e aproximadamente 70.000 vítimas do Reino Unido foram encontradas inserindo seus detalhes em um dos sites falsos.

A Polícia Metropolitana do Reino Unido disse que o LabHost recebeu cerca de £ 1 milhão ($ 1.173.000) em pagamentos de usuários criminosos desde seu lançamento. Estima-se que o serviço tenha obtido 480.000 números de cartão, 64.000 números PIN, bem como nada menos que um milhão de senhas usadas para sites e outros serviços online.

Uma análise das carteiras de criptomoedas identificadas pela LabHost feita pela Chainalysis revelou o recebimento de mais de US$ 1,1 milhão em moeda virtual, abrangendo milhares de transferências, a maior parte representando a taxa mensal paga por seus clientes.

“A LabHost então enviou a maioria desses fundos para algumas exchanges tradicionais, presumivelmente para serem sacados, bem como para um mixer popular, provavelmente para lavar os fundos e ofuscar suas origens”, disse a empresa de análise de blockchain . “Como muitas organizações cibercriminosas, a LabHost utilizou uma variedade de serviços de terceiros e provedores de infraestrutura.”

Além disso, muitos dos cibercriminosos que usaram o LabHost também parecem ter sido clientes do iSpoof , um serviço ilegal de falsificação de números de telefone online que foi desmantelado pela polícia em novembro de 2022. Nada menos que 20 carteiras foram observadas realizando transações com o iSpoof e o LabHost, enviando e recebendo coletivamente mais de US$ 5,3 milhões em Bitcoin.

Plataformas PhaaS como LabHost diminuem a barreira de entrada no mundo do crime cibernético, permitindo que atores de ameaças aspirantes e não qualificados montem ataques de phishing em escala. Em outras palavras, um PhaaS torna possível terceirizar a necessidade de desenvolver e hospedar páginas de phishing.

“O LabHost é mais um exemplo da natureza sem fronteiras do crime cibernético e a derrubada reforça os resultados poderosos que podem ser alcançados por meio de uma frente policial global e unida”, disse o comissário assistente interino do Comando Cibernético da AFP, Chris Goldsmid.

O desenvolvimento ocorre no momento em que a Europol revela que as redes criminosas organizadas estão cada vez mais ágeis, sem fronteiras, controladoras e destrutivas (ABCD), ressaltando a necessidade de uma “resposta concertada, sustentada e multilateral e de cooperação conjunta”.

Fonte: thehackernews.com