Maar liefst 37 personen zijn gearresteerd als onderdeel van een internationaal optreden tegen de cybercriminaliteitsdienst LabHost die door criminele actoren is gebruikt om persoonlijke inloggegevens van slachtoffers over de hele wereld te stelen.
LabHost wordt beschreven als een van de grootste Phishing-as-a-Service (PhaaS)-providers en bood phishing-pagina's aan die waren gericht op banken, spraakmakende organisaties en andere dienstverleners, voornamelijk gevestigd in Canada, de VS en het VK
Als onderdeel van de operatie, met de codenaam PhishOFF en Nebulae (verwijzend naar de Australische tak van het onderzoek), werden op 17 april twee LabHost-gebruikers uit Melbourne en Adelaide gearresteerd, terwijl drie anderen werden gearresteerd en beschuldigd van drugsgerelateerde misdrijven.
“Australische overtreders behoren naar verluidt tot de 10.000 cybercriminelen wereldwijd die het platform, bekend als LabHost, hebben gebruikt om slachtoffers te misleiden om hun persoonlijke gegevens te verstrekken, zoals logins voor online bankieren, creditcardgegevens en wachtwoorden, via aanhoudende phishing-aanvallen verzonden via sms-berichten en e-mails. ', zegt de Australische federale politie (AFP) in een verklaring.
De door Europol geleide gecoördineerde inspanning was er ook getuige van dat tussen 14 en 17 april 32 andere personen werden aangehouden, waaronder vier in Groot-Brittannië die naar verluidt verantwoordelijk zijn voor het ontwikkelen en runnen van de dienst. In totaal werden 70 adressen over de hele wereld doorzocht.
Gelijktijdig met de arrestaties zei LabHost (“lab-host[.]ru”) en alle bijbehorende clusters van phishing-sites zijn in beslag genomen en vervangen door een bericht waarin de inbeslagname wordt aangekondigd.
LabHost werd eerder dit jaar gedocumenteerd door Fortra, waarin werd beschreven dat PhaaS zich richt op populaire merken wereldwijd voor ergens tussen de $ 179 en $ 300 per maand. Het verscheen voor het eerst in het vierde kwartaal van 2021, dat samenviel met de beschikbaarheid van een andere PhaaS-dienst genaamd Frappo.
“LabHost verdeelt hun beschikbare phishing-kits over twee afzonderlijke abonnementspakketten: een Noord-Amerikaans lidmaatschap voor Amerikaanse en Canadese merken, en een internationaal lidmaatschap bestaande uit verschillende wereldwijde merken (en exclusief de NA-merken)”, aldus het bedrijf.
Volgens Trend Micro breidde de catalogus met sjablonen van de phishing-bazaar zich ook uit naar Spotify, postdiensten zoals DHL en An Post, autotoldiensten en verzekeringsmaatschappijen, naast het toestaan van klanten om de creatie van op maat gemaakte phishing-pagina's voor doelmerken aan te vragen.
“Aangezien het platform de meeste vervelende taken op zich neemt bij het ontwikkelen en beheren van de infrastructuur voor phishing-pagina's, heeft de kwaadwillende actor alleen maar een virtuele privéserver (VPS) nodig om de bestanden te hosten en van waaruit het platform automatisch kan worden ingezet”, aldus Trend Micro. .
De phishingpagina’s – links waarnaar wordt verspreid via phishing- en smishing-campagnes – zijn ontworpen om banken, overheidsinstanties en andere grote organisaties na te bootsen en gebruikers te misleiden zodat ze hun inloggegevens en tweefactorauthenticatiecodes (2FA) invoeren.
Klanten van de phishing-kit, die de infrastructuur omvat om de frauduleuze websites te hosten, evenals diensten voor het genereren van e-mail- en sms-inhoud, kunnen de gestolen informatie vervolgens gebruiken om de controle over de online accounts over te nemen en ongeautoriseerde geldoverboekingen uit te voeren vanaf de bankrekeningen van de slachtoffers.
De vastgelegde informatie omvatte namen en adressen, e-mails, geboortedata, standaardantwoorden op beveiligingsvragen, kaartnummers, wachtwoorden en pincodes.
“Labhost bood een menu aan met meer dan 170 nepwebsites die overtuigende phishing-pagina's boden waar gebruikers uit konden kiezen”, aldus Europol, eraan toevoegend dat wetshandhavingsinstanties uit 19 landen aan de verstoring deelnamen.
“Wat LabHost bijzonder destructief maakte, was de geïntegreerde campagnebeheertool genaamd LabRat. Deze functie stelde cybercriminelen in staat om de aanvallen in realtime te volgen en te controleren. LabRat is ontworpen om tweefactorauthenticatiecodes en -referenties vast te leggen, waardoor de criminelen verbeterde veiligheidsmaatregelen te omzeilen.”
Group-IB, die op 17 augustus 2021 voor het eerst verwijzingen naar LabHost in Telegram vond, zei dat LabRat een van de vele componenten was die door de groep werden geadverteerd, waaronder LabCVV (creditcardwinkel), LabSend (SMS/MMS-spamafleveringssysteem) , en LabRefund (Telegram-kanalen en privégroepen waar criminelen hun klanten leren hoe ze gestolen gegevens kunnen gebruiken).
De phishing-infrastructuur van LabHost zou meer dan 40.000 domeinen omvatten. In Australië zijn ruim 94.000 slachtoffers geïdentificeerd en ongeveer 70.000 Britse slachtoffers blijken hun gegevens op een van de nepsites te hebben ingevoerd.
De Britse Metropolitan Police zei dat LabHost sinds de lancering ongeveer £ 1 miljoen ($ 1.173.000) aan betalingen heeft ontvangen van criminele gebruikers. De dienst heeft naar schatting 480.000 kaartnummers, 64.000 pincodes en maar liefst een miljoen wachtwoorden voor websites en andere onlinediensten verzameld.
PhaaS-platforms zoals LabHost verlagen de barrière voor toegang tot de wereld van cybercriminaliteit, waardoor ambitieuze en ongeschoolde bedreigingsactoren de mogelijkheid krijgen om phishing-aanvallen op grote schaal uit te voeren. Met andere woorden: een PhaaS maakt het mogelijk om de noodzaak voor het ontwikkelen en hosten van phishingpagina’s uit te besteden.
“LabHost is wederom een voorbeeld van het grenzeloze karakter van cybercriminaliteit en de aanpak ervan versterkt de krachtige resultaten die kunnen worden bereikt via een verenigd, mondiaal wetshandhavingsfront”, aldus Chris Goldsmid, waarnemend adjunct-commissaris Cyber Command van AFP.
Deze ontwikkeling komt op het moment dat Europol onthulde dat georganiseerde criminele netwerken steeds wendbaarder, grenzelozer, controlerender en destructiever worden (ABCD), wat de noodzaak van een “gecoördineerde, duurzame, multilaterale respons en gezamenlijke samenwerking” onderstreept.
