Serviço de Phishing LabHost com 40.000 Domínios Interrompido e 37 Presos
18 de Abril de 2024

A plataforma de phishing-como-serviço (PhaaS) LabHost foi desmantelada em uma operação global de aplicação da lei com duração de um ano, que comprometeu a infraestrutura e resultou na prisão de 37 suspeitos, incluindo o desenvolvedor original.

Lançada em 2021, a plataforma LabHost possibilitava que criminosos cibernéticos, mediante o pagamento de uma taxa mensal de assinatura, executassem ataques eficazes utilizando uma variedade de kits de phishing direcionados a bancos e serviços na América do Norte.

A LabHost também oferecia infraestrutura para hospedar páginas de phishing e geração e distribuição automáticas de e-mails de phishing, permitindo que criminosos cibernéticos com baixas habilidades realizassem ataques facilmente.

Em fevereiro de 2024, a empresa de segurança digital Fortra alertou que a LabHost estava se tornando uma plataforma PhaaS popular, superando outros players estabelecidos no mercado.

A recente operação internacional de aplicação da lei, coordenada pela Europol, começou há aproximadamente um ano e envolveu forças policiais e investigadores especiais em 19 países, além de parceiros do setor privado como Microsoft, Trend Micro, Chainalysis, Intel 471 e The Shadowserver Foundation.

"A investigação revelou pelo menos 40.000 domínios de phishing ligados à LabHost, que tinha cerca de 10.000 usuários ao redor do mundo", conforme anunciado pela Europol.

Com uma taxa mensal média de $249, a LabHost oferecia uma gama de serviços ilícitos que eram personalizáveis e podiam ser implantados com alguns cliques.

A Europol destaca uma ferramenta particularmente poderosa chamada LabRat, que fez o serviço se destacar da concorrência.

O LabRat é uma ferramenta de gerenciamento de phishing em tempo real que possibilitava aos atacantes capturar tokens de autenticação de dois fatores (2FA) e burlar proteções de contas.

Entre 14 e 17 de abril de 2024, forças policiais ao redor do mundo realizaram buscas simultâneas em 70 endereços, prendendo 37 indivíduos suspeitos de estarem conectados ao serviço LabHost.

O Centro de Coordenação de Cybercrime Policial Conjunto da Austrália (JPC3) também desativou 207 servidores que hospedavam sites de phishing criados pelo serviço LabHost.

No Reino Unido, a Polícia Metropolitana anunciou a prisão de quatro indivíduos envolvidos na gestão do site do serviço, juntamente com "o desenvolvedor original da plataforma".

Até a desativação da LabHost, as autoridades estimaram que os operadores do serviço de cybercrime haviam recebido $1.173.000 de assinaturas de usuários.

Pouco depois dos agentes de aplicação da lei assumirem o controle de sua infraestrutura, mensagens foram enviadas a 800 usuários para alertá-los de que seriam objetos de investigações futuras.

Os investigadores também estabeleceram que a LabHost roubou aproximadamente 480.000 cartões de crédito, 64.000 PINs e um milhão de senhas para diversas contas online.

Vale ressaltar que a LabHost sofreu uma grande interrupção no ano passado no início de outubro, levando muitos a especularem que a plataforma estava provavelmente aplicando um golpe de saída (exit scamming).

No entanto, o serviço retornou à plena operação em 6 de dezembro de 2023.

Ainda não está claro se a interrupção teve relação com a atividade de aplicação da lei.

Publicidade

Proteja sua empresa contra hackers através de um Pentest

Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...