Le FBI a partagé 42 000 domaines de phishing liés à la plate-forme de cybercriminalité LabHost, l’une des plus grandes plates-formes mondiales de phishing en tant que service (PhaaS) qui a été démantelée en avril 2024.
Les domaines publiés ont été enregistrés entre novembre 2021 et avril 2024, date de sa saisie, et sont partagés pour accroître la sensibilisation et fournir des indicateurs de compromission.
Opérations et retrait de LabHost
LabHost était une importante plate-forme PhaaS qui vendait l’accès à un vaste ensemble de kits d’hameçonnage ciblant les banques américaines et canadiennes pour entre 179 et 300 dollars par mois.
Il comportait de nombreuses options de personnalisation, des mécanismes avancés de contournement de l’A2F, des interactions automatiques par SMS avec les victimes et un panneau de gestion de campagne en temps réel.
Bien qu’il ait été lancé en 2021, c’est fin 2023/début 2024 que LabHost est devenu l’un des principaux acteurs du marché des PhaaS, ayant dépassé les entités établies en popularité et en volume d’attaques.
On estime que LabHost a volé plus de 1 000 000 d’informations d’identification d’utilisateurs et près de 500 000 enregistrements de cartes de crédit.
En avril 2024, une opération policière mondiale soutenue par des enquêtes dans 19 pays a conduit au démantèlement de la plateforme, qui comptait à l’époque 10 000 clients dans le monde.
Lors des perquisitions simultanées à 70 adresses, 37 personnes soupçonnées d’avoir des liens avec LabHost ont été arrêtées.
Bien que l’opération LabHost ne soit plus active et que les 42 000 domaines partagés ne soient probablement pas actuellement utilisés dans des opérations malveillantes, il existe toujours une valeur significative pour les entreprises et les défenseurs de la cybersécurité.
Premièrement, la liste de domaines peut être utilisée pour créer une liste de blocage afin d’atténuer le risque que les acteurs de la menace recyclent ou réenregistrent l’un d’entre eux lors d’attaques futures.
La liste peut également être utilisée par les équipes de sécurité pour analyser rétrospectivement les journaux de novembre 2021 à avril 2024 afin de détecter les connexions passées à ces domaines et d’identifier les violations non détectées auparavant.
En fin de compte, la liste peut aider les professionnels de la cybersécurité à analyser les modèles de domaine dans les plates-formes PhaaS, à faciliter l’attribution et la corrélation des renseignements, et à fournir des données réalistes pour la formation au modèle de détection du phishing.
La liste est partagée avec une note de prudence indiquant qu’elle n’a pas été validée, donc des erreurs peuvent exister.
« Le FBI n’a pas validé tous les noms de domaine et la liste peut contenir des erreurs typographiques ou similaires provenant de l’entrée de l’utilisateur LabHost », explique le FBI.
« Les informations sont de nature historique et les domaines peuvent actuellement ne pas être malveillants. »
Le FBI a également noté que l’analyse de cette liste peut révéler des domaines supplémentaires liés à la même infrastructure, de sorte que la liste peut ne pas être exhaustive.