El FBI ha compartido 42.000 dominios de phishing vinculados a la plataforma de ciberdelincuencia LabHost, una de las mayores plataformas globales de phishing como servicio (PhaaS), desmantelada en abril de 2024.
Los dominios publicados se registraron entre noviembre de 2021 y abril de 2024, fecha de su incautación, y se comparten para aumentar la concienciación y proporcionar indicadores de vulnerabilidad.
LabHost era una importante plataforma PhaaS que vendía acceso a un amplio conjunto de kits de phishing dirigidos a bancos estadounidenses y canadienses por entre 179 y 300 dólares al mes. Ofrecía amplias opciones de personalización, mecanismos avanzados de elusión de la autenticación de dos factores (2FA), interacciones automáticas con las víctimas mediante SMS y un panel de gestión de campañas en tiempo real.
Aunque se lanzó en 2021, fue a finales de 2023 o principios de 2024 cuando LabHost se convirtió en uno de los principales actores del mercado de PhaaS, superando a las entidades establecidas en popularidad y volumen de ataques.
Se estima que LabHost ha robado más de un millón de credenciales de usuario y casi 500.000 registros de tarjetas de crédito.
En abril de 2024, una operación policial global, respaldada por investigaciones en 19 países, condujo al desmantelamiento de la plataforma, que en ese momento contaba con 10 000 clientes en todo el mundo. Durante las búsquedas simultáneas en 70 direcciones, se arrestó a 37 personas sospechosas de tener vínculos con LabHost.
Aunque la operación de LabHost ya no está activa y es poco probable que los 42.000 dominios compartidos se utilicen actualmente en operaciones maliciosas, aún conservan un valor significativo para las empresas y los defensores de la ciberseguridad.
En primer lugar, la lista de dominios puede utilizarse para crear una lista de bloqueo y mitigar el riesgo de que los actores de amenazas reciclen o vuelvan a registrar alguno de ellos en futuros ataques.
Los equipos de seguridad también pueden utilizar la lista para analizar retrospectivamente los registros desde noviembre de 2021 hasta abril de 2024 con el fin de detectar conexiones anteriores a estos dominios e identificar brechas no detectadas previamente.
En última instancia, la lista puede ayudar a los profesionales de la ciberseguridad a analizar patrones de dominio en plataformas PhaaS, facilitar la atribución y la correlación de inteligencia, y proporcionar datos realistas para el entrenamiento de modelos de detección de phishing.
La lista se comparte con la advertencia de que no ha sido validada, por lo que puede contener errores. "El FBI no ha validado todos los nombres de dominio, y la lista podría contener errores tipográficos o similares provenientes de la entrada de los usuarios de LabHost", explica el FBI. "La información es de carácter histórico, y es posible que los dominios no sean maliciosos en la actualidad".
El FBI también señaló que el análisis de esta lista podría revelar dominios adicionales vinculados a la misma infraestructura, por lo que podría no ser exhaustiva.
Fuente: BC