El FBI ha compartido 42.000 dominios de phishing vinculados a la plataforma de
ciberdelincuencia LabHost, una de las mayores plataformas globales de phishing
como servicio (PhaaS), desmantelada en abril de 2024.
Los dominios publicados se registraron entre noviembre de 2021 y abril de
2024, fecha de su incautación, y se comparten para aumentar la concienciación
y proporcionar indicadores de vulnerabilidad.
LabHost era una importante plataforma PhaaS que vendía acceso a un amplio
conjunto de kits de phishing dirigidos a bancos estadounidenses y
canadienses por entre 179 y 300 dólares al mes. Ofrecía amplias opciones de personalización, mecanismos avanzados de elusión
de la autenticación de dos factores (2FA), interacciones automáticas con las
víctimas mediante SMS y un panel de gestión de campañas en tiempo real.
Aunque se lanzó en 2021, fue a finales de 2023 o principios de 2024 cuando
LabHost se convirtió en uno de los principales actores del mercado de PhaaS,
superando a las entidades establecidas en popularidad y volumen de ataques.
Se estima que LabHost ha robado más de un millón de credenciales de usuario
y casi 500.000 registros de tarjetas de crédito.
En abril de 2024, una operación policial global, respaldada por
investigaciones en 19 países, condujo al desmantelamiento de la plataforma,
que en ese momento contaba con 10 000 clientes en todo el mundo. Durante las
búsquedas simultáneas en 70 direcciones, se arrestó a 37 personas sospechosas
de tener vínculos con LabHost.
Aunque la operación de LabHost ya no está activa y es poco probable que los
42.000 dominios compartidos se utilicen actualmente en operaciones maliciosas,
aún conservan un valor significativo para las empresas y los defensores de la
ciberseguridad.
En primer lugar, la
lista de dominios
puede utilizarse para crear una lista de bloqueo y mitigar el riesgo de que
los actores de amenazas reciclen o vuelvan a registrar alguno de ellos en
futuros ataques.
Los equipos de seguridad también pueden utilizar la lista para analizar
retrospectivamente los registros desde noviembre de 2021 hasta abril de 2024
con el fin de detectar conexiones anteriores a estos dominios e identificar
brechas no detectadas previamente.
En última instancia, la lista puede ayudar a los profesionales de la
ciberseguridad a analizar patrones de dominio en plataformas PhaaS, facilitar
la atribución y la correlación de inteligencia, y proporcionar datos realistas
para el entrenamiento de modelos de detección de phishing.
La lista se comparte con la advertencia de que no ha sido validada, por lo que
puede contener errores.
«El FBI no ha validado todos los nombres de dominio, y la lista podría
contener errores tipográficos o similares provenientes de la entrada de los
usuarios de LabHost»,
explica el FBI.
«La información es de carácter histórico, y es posible que los dominios no
sean maliciosos en la actualidad».
El FBI también señaló que el análisis de esta lista podría revelar dominios
adicionales vinculados a la misma infraestructura, por lo que podría no ser
exhaustiva.
Fuente:
BC