Платформа LabHost, работавшая по схеме phishing-as-a-service («фишинг-как-услуга», PhaaS), была ликвидирована в ходе длившейся целый год операции правоохранительных органов. Полиция взломала инфраструктуру платформы и задержала 37 подозреваемых, среди которых был и разработчик LabHost.
Фишинговая платформа была запущена в 2021 году и позволяла злоумышленникам, платившим ежемесячную абонентскую плату, проводить атаки с использованием различных фишинговых наборов на банки и сервисы в Северной Америке.
Кроме того, LabHost предоставляла инфраструктуру для размещения фишинговых страниц, а также автоматической генерации и рассылки фишинговых писем, что позволяло даже низкоквалифицированным преступникам легко реализовать свои атаки.
В феврале 2024 года ИБ-компания Fortra предупредила, что LabHost постепенно превращается в популярную PhaaS-платформу, опережая других игроков на этом рынке.
Координируемая Европолом международная операция правоохранительных органов, получавшая названия PhishOFF и Nebulae, началась около года назад, и в ней приняли участие полицейские из 19 стран мира, а также компании частного сектора, включая Microsoft, Trend Micro, Chainalysis, Intel 471 и The Shadowserver Foundation.
Представители Европола сообщают, что во время расследования было обнаружено не менее 40 000 фишинговых доменов, связанных с LabHost, и сервисом пользовались более 10 000 человек по всему миру. По оценкам властей, операторы сервиса заработали порядка 1 173 000 долларов на продаже PhaaS-подписок.
Также следователи установили, что операторы LabHost похитили около 480 000 банковских карт, 64 000 PIN-кодов и около миллиона паролей от различных онлайн-аккаунтов. Так, в Австралии было выявлено более 94 000 жертв, а в Великобритании — около 70 000.
«При средней ежемесячной плате в размере 249 долларов LabHost предлагал ряд незаконных услуг, которые можно было настраивать и развертывать всего в несколько кликов», — говорят следователи.
Специалисты Европола особо отмечают мощный инструмент под названием LabRat, благодаря которому сервис выделялся на фоне конкурентов. LabRat представлял собой средство управления фишинговыми кампаниями в режиме реального времени, позволяя злоумышленникам перехватывать токены двухфакторной аутентификации (2ФА) и обходить защиту учетных записей.
В период с 14 по 17 апреля 2024 года правоохранительные органы по всему миру одновременно провели обыски по 70 адресам и арестовали 37 человек, подозреваемых в связях с сервисом LabHost.
Кроме того, австралийский объединенный координационный центр по борьбе с киберпреступностью (JPC3) сообщает об уничтожении 207 серверов, на которых размещались фишинговые сайты, созданные с помощью LabHost. А полиция Великобритании объявила об аресте четырех человек, участвовавших в управлении сайтом сервиса, а также «исходного разработчика платформы».
Вскоре после того, как правоохранители взяли под контроль инфраструктуру LabHost, 800 пользователям были разосланы сообщения с предупреждением о том, что скоро они станут объектами новых расследований.