Las páginas de phishing estaban diseñadas para imitar a bancos, entidades gubernamentales y más
Hasta 37 personas han sido arrestadas como parte de una ofensiva internacional contra un servicio de cibercrimen llamado LabHost que ha sido utilizado por actores criminales para robar credenciales personales de víctimas de todo el mundo.
Descrito como uno de los mayores proveedores de phishing como servicio (PhaaS), LabHost ofrecía páginas de phishing dirigidas a bancos, organizaciones de alto perfil y otros proveedores de servicios ubicados principalmente en Canadá, EE. UU. y el Reino Unido.
Como parte de la operación, con el nombre en código PhishOFF y Nebulae (en referencia al brazo australiano de la investigación), dos usuarios de LabHost de Melbourne y Adelaide fueron arrestados el 17 de abril, y otros tres fueron arrestados y acusados de delitos relacionados con drogas.
"Los delincuentes australianos supuestamente se encuentran entre los 10.000 ciberdelincuentes en todo el mundo que han utilizado la plataforma, conocida como LabHost, para engañar a las víctimas para que proporcionen su información personal, como inicios de sesión bancarios en línea, detalles de tarjetas de crédito y contraseñas, a través de ataques persistentes de phishing enviados a través de mensajes de texto y correos electrónicos", dijo en un comunicado la Policía Federal Australiana (AFP).
El esfuerzo coordinado liderado por Europol también fue testigo de la detención de otras 32 personas entre el 14 y el 17 de abril, incluidos cuatro en el Reino Unido que son supuestamente responsables del desarrollo y funcionamiento del servicio. En total, se buscaron 70 direcciones en todo el mundo.
Coincidiendo con los arrestos, LabHost ("lab-host[.]ru") y todo su grupo asociado de sitios de phishing han sido confiscados y reemplazados con un mensaje que anuncia su incautación.
LabHost fue documentado a principios de este año por Fortra, detallando su PhaaS dirigido a marcas populares a nivel mundial por entre $179 y $300 por mes. Surgió por primera vez en el cuarto trimestre de 2021, coincidiendo con la disponibilidad de otro servicio PhaaS llamado Frappo.
"LabHost divide sus kits de phishing disponibles entre dos paquetes de suscripción separados: una membresía norteamericana que cubre marcas estadounidenses y canadienses, y una membresía internacional que consta de varias marcas globales (y excluye las marcas de NA)", dijo la compañía.
Según Trend Micro, el catálogo de plantillas del bazar de phishing también se extendió a Spotify, servicios postales como DHL y An Post, servicios de peaje de automóviles y proveedores de seguros, además de permitir a los clientes solicitar la creación de páginas de phishing personalizadas para las marcas objetivo.
"Dado que la plataforma se encarga de la mayoría de las tareas tediosas en el desarrollo y administración de la infraestructura de páginas de phishing, todo lo que el actor malicioso necesita es un servidor privado virtual (VPS) para alojar los archivos y desde el cual la plataforma puede implementar automáticamente", dijo Trend Micro.
Las páginas de phishing, cuyos enlaces se distribuyen a través de campañas de phishing y smishing, están diseñadas para imitar a bancos, entidades gubernamentales y otras organizaciones importantes, engañando a los usuarios para que ingresen sus credenciales y códigos de autenticación de dos factores (2FA).
Los clientes del kit de phishing, que comprende la infraestructura para alojar los sitios web fraudulentos, así como servicios de generación de contenidos de correo electrónico y SMS, podrían luego utilizar la información robada para tomar el control de las cuentas en línea y realizar transferencias de fondos no autorizadas desde las cuentas bancarias de las víctimas.
La información capturada incluía nombres y direcciones, correos electrónicos, fechas de nacimiento, respuestas a preguntas de seguridad estándar, números de tarjetas, contraseñas y PIN.
"Labhost ofrecía un menú de más de 170 sitios web falsos que proporcionaban páginas de phishing convincentes para que sus usuarios eligieran", dijo Europol, añadiendo que agencias policiales de 19 países participaron en la incautación.
"Lo que hizo que LabHost fuera particularmente destructivo fue su herramienta integrada de gestión de campañas llamada LabRat. Esta característica permitió a los ciberdelincuentes que implementaban los ataques monitorear y controlar esos ataques en tiempo real. LabRat fue diseñado para capturar credenciales y códigos de autenticación de dos factores, lo que permite a los delincuentes eludir las medidas de seguridad mejoradas".
Group-IB, que encontró referencias a LabHost en Telegram que datan del 17 de agosto de 2021, dijo que LabRat era uno de los muchos servicios anunciados por el grupo, junto con LabCVV (tienda de tarjetas de crédito), LabSend (sistema de entrega de spam SMS/MMS) y LabRefund (canales de Telegram y grupos privados donde los delincuentes enseñan a sus clientes cómo utilizar datos robados).
Se dice que la infraestructura de phishing de LabHost incluye más de 40.000 dominios. Se han identificado más de 94.000 víctimas en Australia y se ha descubierto que aproximadamente 70.000 víctimas del Reino Unido ingresaron sus datos en uno de los sitios falsos.
La Policía Metropolitana del Reino Unido dijo que LabHost ha recibido alrededor de £1 millón ($1,173,000) en pagos de usuarios criminales desde su lanzamiento. Se estima que el servicio obtuvo 480.000 números de tarjetas, 64.000 números PIN, así como nada menos que un millón de contraseñas utilizadas para sitios web y otros servicios en línea.
Las plataformas PhaaS como LabHost reducen la barrera de entrada al mundo del cibercrimen, permitiendo a actores de amenazas aspirantes y no capacitados montar ataques de phishing a escala. En otras palabras, un PhaaS permite subcontratar la necesidad de desarrollar y alojar páginas de phishing.
"LabHost es otro ejemplo de la naturaleza sin fronteras del cibercrimen y su eliminación refuerza los poderosos resultados que pueden lograrse a través de un frente mundial unido de aplicación de la ley", afirmó Chris Goldsmid, subcomisionado interino del Comando Cibernético.
Este acontecimiento se produce cuando Europol reveló que las redes criminales organizadas son cada vez más ágiles, sin fronteras, controladoras y destructivas (ABCD), lo que subraya la necesidad de una "respuesta multilateral concertada, sostenida y una cooperación conjunta".