FBI a distribuit o listă de 42.000 de domenii de phishing legate de platforma de cybercrime LabHost, una dintre cele mai mari platforme globale de phishing-as-a-service (PhaaS) care a fost dezmembrată în aprilie 2024.
Domeniile publicate au fost înregistrate între noiembrie 2021 și aprilie 2024, momentul în care a fost confiscată, și sunt distribuite pentru a crește conștientizarea și a oferi indicii de compromitere.
LabHost a fost o platformă majoră PhaaS care vindea acces la un set extins de kituri de phishing care vizau băncile din SUA și Canada pentru sume cuprinse între 179 și 300 de dolari pe lună.
Platforma oferea opțiuni extinse de personalizare, mecanisme avansate de bypassare a autentificării cu doi factori, interacțiuni automate bazate pe SMS cu victimele și un panou de management al campaniilor în timp real.
Deși a fost lansată în 2021, a fost la sfârșitul anului 2023/începutul anului 2024 când LabHost a devenit unul dintre cei mai importanți jucători de pe piața PhaaS, depășind entități consolidate în popularitate și volumul atacurilor.
Se estimează că LabHost a furat peste 1.000.000 de credențiale de utilizator și aproape 500.000 de înregistrări de carduri de credit.
În aprilie 2024, o operațiune globală de aplicare a legii sprijinită de anchete în 19 țări a condus la dezmembrarea platformei, care la momentul respectiv avea 10.000 de clienți la nivel mondial.
În timpul perchezițiilor simultane la 70 de adrese, au fost arestați 37 de persoane suspectate că ar avea legături cu LabHost.
Deși operațiunea LabHost nu mai este activă și cele 42.000 de domenii distribuite nu sunt susceptibile de a fi folosite în operațiuni dăunătoare în prezent, există în continuare o valoare semnificativă pentru firmele de securitate cibernetică și apărătorii acestora.
În primul rând, lista de domenii poate fi folosită pentru a crea o listă de blocare pentru a reduce riscul ca actorii de amenințare să recicleze sau să reînregistreze vreunul dintre acestea în atacuri viitoare.
Lista poate fi, de asemenea, folosită de echipele de securitate pentru a scanare retrospectivă a jurnalelor din noiembrie 2021 până în aprilie 2024 pentru a detecta conexiuni anterioare la aceste domenii și a identifica încălcări nedetectate anterior.
În cele din urmă, lista poate ajuta profesioniștii în securitatea cibernetică să analizeze modelele de domenii din platformele PhaaS, să ajute la atribuire și corelare a informațiilor și să ofere date realiste pentru antrenarea modelelor de detectare a phishing-ului.
Lista este distribuită cu o notă de atenționare că nu a fost validată, astfel încât pot exista erori.
„FBI nu a validat fiecare nume de domeniu, iar lista poate conține erori tipografice sau similare din introducerea utilizatorilor LabHost,” explică FBI.
„Informațiile sunt de natură istorică, iar domeniile nu pot fi neapărat dăunătoare în prezent.”
FBI a subliniat de asemenea că analiza acestei liste poate dezvălui domenii suplimentare legate de aceeași infrastructură, astfel încât lista nu poate fi exhaustivă.
Platforma de phishing ‘Lucid’ din spatele valului de atacuri SMS iOS și Android
Noul serviciu de phishing Darcula vizează utilizatorii de iPhone prin iMessage
Kitul de phishing Tycoon2FA vizează Microsoft 365 cu trucuri noi
Operațiunea de phishing-as-a-service folosește DNS-over-HTTPS pentru evaziune
Administratorii WooCommerce sunt țintiți de patch-uri de securitate false care preiau site-urile
Leave a Reply