Desmantelamiento internacional de LabHost: Golpe a un gigante del ciberdelito

En una operación internacional contra LabHost, un reconocido servicio dedicado al ciberdelito, se ha logrado la detención de 37 individuos. Este servicio era utilizado por actores maliciosos para el robo de credenciales personales en todo el mundo.

LabHost se ha identificado como uno de los principales proveedores de Phishing as a Service (PhaaS). Ofrecía páginas de phishing dirigidas a bancos, organizaciones de alto perfil y otros servicios en Canadá, Estados Unidos y Reino Unido.

Bajo el nombre en clave «Nebulae«, la operación llevó a la detención de dos usuarios de LabHost en Melbourne y Adelaide el 17 de abril.

Según la Policía Federal Australiana (AFP), se estima que alrededor de 10.000 ciberdelincuentes a nivel mundial utilizaron LabHost para cometer fraudes. Estos delincuentes lograron engañar a las víctimas y obtener información personal como datos bancarios, detalles de tarjetas de crédito y contraseñas mediante ataques de phishing por texto y correo electrónico.

La operación, dirigida por Europol, donde participaron entre otras entidades gubernamentales, la policía nacional de España; resultó en la detención de 32 individuos adicionales entre el 14 y 17 de abril. Estos últimos se presume que están involucrados en el desarrollo y operación del servicio. En total, se registraron 70 direcciones en todo el mundo.

Simultáneamente a las detenciones, LabHost («lab-host[.]ru«) y todos sus sitios asociados de phishing han sido confiscados y reemplazados por un mensaje que anuncia su incautación.

Fortra documentó a LabHost a principios de año, detallando sus servicios de PhaaS dirigidos a marcas reconocidas a nivel global. La plataforma emergió por primera vez en el último trimestre de 2021, coincidiendo con la aparición de otro servicio de PhaaS llamado Frappo.

Trend Micro reveló que LabHost ofrecía también páginas de phishing para servicios como Spotify, DHL, An Post, servicios de peaje y proveedores de seguros. Además, permitía a los clientes solicitar la creación de páginas de phishing personalizadas.

«LabHost automatiza la mayoría de las tareas en el desarrollo y gestión de la infraestructura de páginas de phishing. Para ello, el actor malicioso solo necesita un servidor privado virtual (VPS) para alojar los archivos, desde donde LabHost puede desplegarlos automáticamente»

Señaló Trend Micro.

Estas páginas de phishing, distribuidas mediante campañas de phishing y smishing, imitan a bancos, entidades gubernamentales y otras organizaciones importantes. Engañan a los usuarios para que proporcionen sus credenciales y códigos de autenticación de dos factores (2FA).

Los clientes de LabHost, que incluyen la infraestructura para alojar los sitios web fraudulentos y servicios de generación de contenido de correo electrónico y SMS, podían utilizar la información robada para acceder y controlar cuentas en línea, realizando transferencias no autorizadas desde las cuentas bancarias de las víctimas.

La información capturada abarcaba nombres, direcciones, correos electrónicos, fechas de nacimiento, respuestas a preguntas de seguridad, números de tarjetas, contraseñas y PIN.

Europol señaló que LabHost ofrecía un menú de más de 170 sitios web falsos con páginas de phishing convincentes. Además, indicaron que agencias de aplicación de la ley de 19 países colaboraron en la interrupción de esta actividad delictiva.

«Lo que hacía particularmente destructivo a LabHost era su herramienta integrada de gestión de campañas, LabRat. Esta función permitía a los ciberdelincuentes desplegar y monitorear ataques en tiempo real, capturando códigos de autenticación de dos factores y credenciales, facilitando a los criminales eludir medidas de seguridad avanzadas».

Indica Europol.

Se estima que la infraestructura de phishing de LabHost abarca más de 40.000 dominios. Se han identificado más de 94.000 víctimas en Australia y alrededor de 70.000 en el Reino Unido que han proporcionado sus detalles en uno de los sitios fraudulentos.

La Policía Metropolitana del Reino Unido informó que LabHost ha obtenido un aproximado de $1,173,000 en pagos de usuarios criminales desde su inicio. Además, se estima que el servicio ha recopilado 480.000 números de tarjetas, 64.000 números PIN y al menos un millón de contraseñas utilizadas para sitios web y servicios en línea.

Las plataformas de PhaaS, como LabHost, disminuyen la barrera de entrada al ciberdelito, permitiendo que actores no calificados realicen ataques de phishing a gran escala. En resumen, los servicios PhaaS externalizan la necesidad de desarrollar y alojar páginas de phishing.

«LabHost es otro ejemplo de la naturaleza sin fronteras del ciberdelito. La desarticulación de esta operación demuestra los efectivos resultados que pueden lograrse mediante una colaboración global en la aplicación de la ley».

Comenta Chris Goldsmid, Comisionado Asistente Interino del Comando Cibernético de la AFP.

Más información:

• https://www.afp.gov.au/news-centre/media-release/global-sting-sees-australian-offenders-arrested-cybercrime-and-phishing
• https://www.trendmicro.com/en_us/research/24/d/labhost-takedown.html
• https://www.europol.europa.eu/media-press/newsroom/news/international-investigation-disrupts-phishing-service-platform-labhost
• https://news.met.police.uk/news/law-enforcement-infiltrates-fraud-platform-used-by-thousands-of-criminals-worldwide-482687

La entrada Desmantelamiento internacional de LabHost: Golpe a un gigante del ciberdelito se publicó primero en Una al Día.