La plate-forme phishing-as-a-service (PhaaS) de LabHost a été perturbée au cours d’une opération mondiale d’application de la loi d’un an qui a compromis l’infrastructure et arrêté 37 suspects, dont le développeur d’origine.

La plateforme de phishing a été lancée en 2021 et a permis aux cybercriminels payant un abonnement mensuel de lancer des attaques efficaces à l’aide d’une variété de kits de phishing pour les banques et les services en Amérique du Nord.

LabHost a également proposé une infrastructure pour l’hébergement de pages de phishing et la génération et la distribution automatiques d’e-mails de phishing, permettant aux cybercriminels peu qualifiés de mener facilement des attaques.

En février 2024, la société de sécurité numérique Fortra a averti que LabHost devenait une plate-forme PhaaS populaire, surpassant les autres acteurs établis sur le marché.

La récente opération internationale d’application de la loi coordonnée par Europol a débuté il y a environ un an et a impliqué des forces de police et des enquêteurs spéciaux dans 19 pays, ainsi que des partenaires du secteur privé tels que Microsoft, Trend Micro, Chainalysis, Intel 471 et la Shadowserver Foundation.

« L’enquête a mis au jour au moins 40 000 domaines de phishing liés à LabHost, qui comptaient quelque 10 000 utilisateurs dans le monde entier », lit-on dans l’annonce d’Europol.

« Avec des frais mensuels moyens de 249 Lab, LabHost offrirait une gamme de services illicites personnalisables et pouvant être déployés en quelques clics. »

Europol met en avant un outil particulièrement puissant appelé LabRat qui a permis au service de se démarquer de la concurrence. LabRat est un outil de gestion du phishing en temps réel qui a permis aux attaquants de capturer des jetons d’authentification à deux facteurs (2FA) et de contourner les protections de compte.

Bannière de saisie sur la page principale de LabHost

Entre le 14 et le 17 avril 2024, les forces de police du monde entier ont effectué des perquisitions simultanées à 70 adresses, arrêtant 37 personnes soupçonnées d’être connectées au service LabHost.

Le Centre australien de Coordination de la cybercriminalité de la Police mixte (JPC3) a également supprimé 207 serveurs hébergeant des sites Web d’hameçonnage créés via le service LabHost.

Au Royaume-Uni, la police métropolitaine a annoncé avoir arrêté quatre personnes impliquées dans la gestion du site Web du service ainsi que « le développeur original de la plate-forme ».

Jusqu’au retrait de LabHost, les autorités estimaient que les opérateurs du service de cybercriminalité avaient reçu 1 173 000 DOLLARS des abonnements des utilisateurs.

Peu de temps après que les forces de l’ordre ont pris le contrôle de son infrastructure, des messages ont été envoyés à 800 utilisateurs pour les avertir qu’ils feront l’objet d’enquêtes à venir.

Les enquêteurs ont également établi que LabHost avait volé environ 480 000 cartes de crédit, 64 000 codes PIN et un million de mots de passe pour divers comptes en ligne.

Il convient de noter que LabHost a connu une panne massive l’année dernière au début du mois d’octobre, ce qui a incité beaucoup à dire que la plate-forme était probablement une arnaque à la sortie.

Cependant, le service est redevenu pleinement opérationnel le 6 décembre 2023. Il n’est pas clair si la panne était liée à l’activité d’application de la loi.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *