La plateforme d’hameçonnage en tant que service (Paas) « Hôte de laboratoire » aide les cybercriminels à cibler les banques nord-américaines, en particulier les instituts financiers au Canada, provoquant une augmentation notable de l’activité.

Les plates-formes Paas fournissent des kits de phishing clés en main, une infrastructure pour l’hébergement des pages, la génération de contenu d’e-mail et des services de présentation des campagnes aux cybercriminels en échange d’un abonnement mensuel.

Lab Host n’est pas un nouveau fournisseur, mais sa popularité a augmenté après l’introduction de kits d’hameçonnage personnalisés pour les banques canadiennes au premier semestre 2023.

Fortran, à la suite de l’activité cybercriminelle, rapporte que Lab Host a dépassé la précédente plate-forme PhaaS préférée des cybercriminels, Frappo, et est désormais le principal moteur de la plupart des attaques d’hameçonnage ciblant les clients des banques canadiennes.

Bien que LabHost ait subi une panne perturbatrice début octobre 2023, il a rétabli son activité à des niveaux notables, comptant plusieurs centaines d’attaques par mois.

Activité observée des PHAA

Fortra a publié pour la première fois un article sur sa section blog il y a deux semaines pour alerter sur la menace émergente, mais a ajouté de nombreux détails sur LabHost et son fonctionnement interne hier, après avoir vraisemblablement infiltré l’opération avec leur propre compte.

Un coup d’œil à l’intérieur de Tabhost
Lab Host propose trois niveaux d’adhésion: Standard (179 USD/mois), Premium (249 USD/mois) et World (300 USD/mois).

Le premier se concentre sur les banques canadiennes, le second inclut les banques américaines et le troisième cible 70 institutions dans le monde entier, à l’exclusion de l’Amérique du Nord.

Niveaux d’adhésion

Outre les kits de phishing pour les banques, les modèles incluent des pages de phishing pour des services en ligne comme Spotify, des services de livraison postale comme DHL et des fournisseurs de services de télécommunication régionaux.

Les cybercriminels achetant l’accès au panneau hôte du laboratoire disposent de plusieurs options d’installation pour créer rapidement des attaques personnalisées.

Options de personnalisation du hameçonnage

LabHost permet aux attaquants de voler la protection 2FA sur des comptes ciblés en liant le processus de phishing à « LabRat », un outil de gestion du phishing en temps réel qui permet aux cybercriminels de surveiller et de contrôler une attaque de phishing active.

«  »Tous les kits d’escroquerie disponibles auprès de Lab Host fonctionnent parallèlement à un outil de gestion de campagne en temps réel nommé LabRat. LabRat permet au hameçonneur de contrôler et de surveiller ses attaques actives », explique Fortran.

« Cette fonctionnalité est exploitée dans les attaques de type intermédiaire pour obtenir des codes d’authentification à deux facteurs, authentifier des informations d’identification valides et contourner des contrôles de sécurité supplémentaires. »

L’outil de rat de laboratoire utilisé pour mener l’attaque

En plus de ce qui précède, lorsque LabHost a été relancé après la perturbation d’octobre, il a introduit un nouvel outil de spam par SMS nommé « LabSend », qui intègre des liens vers des pages de phishing LabHost dans les messages SMS.

«  »L’outil d’envoi de laboratoire peut coordonner une campagne d’hameçonnage automatique sur plusieurs sites, en randomisant des portions de messages texte pour échapper à la détection des messages de spam malveillants catalogués », lit-on dans le rapport de Fortra.

« Après l’envoi d’un leurre SMS, LabSend répondra automatiquement aux réponses des victimes à l’aide de modèles de messages personnalisables. »

Nouvelle fonctionnalité d’envoi de laboratoire promue sur Telegram

Les plateformes de phishing en tant que service rendent la cybercriminalité plus facilement accessible aux pirates informatiques non qualifiés, élargissant considérablement le bassin d’acteurs de la menace et ayant un impact sur la cybersécurité à plus grande échelle.

D’autres plates-formes Paas notables sur lesquelles les chercheurs ont récemment mis en garde sont « Greatness » et « Robin Banks », toutes deux lancées à la mi-2022, avec contournement de l’AMF, kits de phishing personnalisés et panneaux d’administration.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *