El FBI ha publicado una lista completa de 42,000 dominios de phishing conectados a la plataforma de phishing como servicio (PHAAS) desmantelada Labhost.
El propósito de esta divulgación es proporcionar una valiosa inteligencia a los expertos en ciberseguridad en una de las tareas de phishing más grandes del mundo que se dirigen a millones de víctimas antes del derribo en abril de 2024.
Operando entre noviembre de 2021 y abril de 2024, Labhost fue una plataforma de PHAAS sofisticada que proporcionó a los cibercriminales las herramientas para crear sitios web de phishing persuasivos al hacerse pasar por más de 200 organizaciones legales.
Estos incluyeron principales bancos, agencias gubernamentales, servicios postales y plataformas de transmisión en línea. El servicio fue utilizado por aproximadamente 10,000 cibercriminales en todo el mundo que pagaron tarifas de suscripción mensuales que oscilaban entre $ 179 y $ 300.
42,000 dominios de phishing divulgados por el FBI
“La plataforma permitió a los ciberdelincuentes hacerse pasar por más de 200 organizaciones, incluidos los principales bancos y agencias gubernamentales, para recopilar información personal y calificaciones bancarias de víctimas desprevenidas de todo el mundo”, dijo el FBI en el informe.
La estación obtuvo el nombre de dominio y la fecha de creación del servidor de backend de Labhost después de la demolición de la plataforma.
Lo que puso a Labhost particularmente en peligro fue su suite de servicio integral. La plataforma proporcionó una configuración de infraestructura, creando páginas de phishing personalizadas, conexiones proxy intermedias para evitar la autenticación de dos factores, las capacidades de SMS SMSCHING y la gestión de credenciales robadas. Una característica central llamada “Labrat” permitió a los delincuentes monitorear los ataques de phishing e interceptar códigos de autenticación en tiempo real.
La escala de la operación de Labhost fue increíble. Según el FBI, la infraestructura de la plataforma almacena más de 1 millón de credenciales de usuario y casi 500,000 tarjetas de crédito comprometidas, permitiendo robos financieros, esquemas de fraude y lavado de dinero. Estas credenciales robadas han afectado a más de 1 millón de víctimas en todo el mundo.
Labhost fue eliminado en abril de 2024 luego de un año de investigaciones internacionales coordinadas por Europol e involucrando la policía en 19 países. La operación condujo a 70 búsquedas y 37 arrestos en todo el mundo. Esto incluye a cuatro principales operadores de anfitriones de amor del Reino Unido.
El FBI enfatizó que si bien estos dominios son de naturaleza histórica y pueden no estar activos para fines maliciosos ahora, esta lista proporciona información valiosa para los defensores de las redes y los oficiales de inteligencia cibernética sobre tácticas y tecnologías enemigas.
“La investigación histórica que identifica las conexiones con cualquiera de estos dominios debería alentar respuestas y seguimientos adicionales de los usuarios afectados”, aconsejó el FBI.
Una lista completa de nombres de dominio está disponible en el sitio web del Centro de Quejas de Delitos de Internet del FBI. Se alienta a las organizaciones que identifican actividades asociadas con estas métricas a tomar medidas inmediatas para mitigar los impactos potenciales y prepararse para la respuesta a los incidentes.
Este lanzamiento es un recurso importante para la comunidad de seguridad cibernética en la batalla en curso contra las amenazas de phishing y proporciona métricas concretas de una de las operaciones de phishing más sofisticadas en los últimos años.
¿Eres de los equipos SOC y DFIR? – Analice los incidentes de malware y comience cualquiera.run-> gratis.
