Autoridades de 19 países interromperam as atividades de uma das maiores plataformas de phishing como serviço do mundo, conhecida como LabHost. A operação, que durou um ano, foi coordenada internacionalmente pela Europol e resultou na descontinuidade da infraestrutura do LabHost, que anteriormente disponível também na web aberta.
Entre domingo, 14, e quarta-feira passada, 17, um total de 70 endereços foram pesquisados em todo o mundo, resultando na prisão de 37 suspeitos. A operação também procedeu a prisão de quatro indivíduos no Reino Unido ligados à gestão do site, incluindo o desenvolvedor original do serviço.
A investigação internacional foi liderada pela Polícia Metropolitana de Londres, com o apoio do Centro Europeu do Cibercrime (EC3) da Europol e do Grupo de Trabalho Conjunto de Ação contra o Cibercrime (J-CAT) instalado na sede da agência policial europeia.
A Europol apoia este caso desde setembro de 2023. Foi organizado um sprint operacional na sua sede com todos os países envolvidos para que os investigadores pudessem identificar e desenvolver informações sobre usuários da plataforma mal-intencionados e vítimas em seus países. Durante a fase de ação, um especialista da Europol apoiou a Polícia Nacional Holandesa nas ações de execução.
O cibercrime como serviço tornou-se um modelo de negócios em rápido crescimento no cenário mundial, em que os operadores de ameaças alugam ou vendem ferramentas, conhecimentos ou serviços a outros cibercriminosos para cometerem os seus ataques. Embora este modelo esteja bem estabelecido com grupos de ransomware, também foi adotado por outros operadores do crime cibernético, como grupos de phishing.
O LabHost se tornou uma ferramenta significativa para cibercriminosos em todo o mundo. Por uma assinatura mensal, a plataforma fornecia kits de phishing, infraestrutura para hospedagem de páginas, funcionalidade interativa para interagir diretamente com as vítimas e serviços de visão geral da campanha.
A investigação descobriu pelo menos 40 mil domínios de phishing vinculados ao LabHost, que tinha cerca de 10 mil usuários em todo o mundo. Com uma taxa mensal média de US$ 249, o LabHost ofereceria uma gama de serviços ilícitos que eram personalizáveis e poderiam ser implantados com apenas alguns cliques. Dependendo da assinatura, os criminosos recebiam uma gama crescente de alvos de instituições financeiras, serviços de entrega postal e prestadores de serviços de telecomunicações, entre outros. O Labhost ofereceu um menu de mais de 170 sites falsos, fornecendo páginas de phishing convincentes para seus usuários escolherem.
Veja isso
Microsoft é a marca mais imitada em golpes de phishing
Phishing Darcula tem como alvo usuários de iPhone via iMessage
O que tornou o LabHost particularmente destrutivo foi sua ferramenta integrada de gerenciamento de campanhas chamada LabRat. Esse recurso permitiu que os cibercriminosos implantassem os ataques para monitorar e controlar esses ataques em tempo real. O LabRat foi projetado para capturar códigos e credenciais de autenticação de dois fatores, permitindo que os criminosos contornem medidas de segurança aprimoradas.
Plataformas como o LabHost tornam o crime cibernético mais facilmente acessível para hackers não qualificados, expandindo significativamente o conjunto de operadores de ameaças.
Uma grande quantidade de dados recolhidos ao longo da investigação está agora na posse das autoridades policiais. Esses dados serão usados para apoiar atividades operacionais internacionais em andamento focadas em atingir os usuários mal-intencionados da plataforma de phishing.
