Durant un an, les services de police de près de 20 pays se sont concertés pour compromettre l'infrastructure de la plateforme de phishing as a service, LabHost. Le groupe comptait quelques 10 000 utilisateurs.
Ils se sont associés à 19 services de police. Europol a indiqué dans un communiqué qu'une opération internationale a gravement perturbé les activités de LabHost, l'une des plus grandes plateformes de vente de kits de phishing au monde, disponible sur le web ouvert. Une dernière particularité non négligeable, puisqu'elle rendait ainsi la cybercriminalité bien plus accessible, y compris à des pirates informatiques non qualifiés.
L'enquête a été menée par la police métropolitaine de Londres du Royaume-Uni, avec le concours du Centre européen de lutte contre la cybercriminalité (EC3) d'Europol et du groupe de travail conjoint d'action contre la cybercriminalité (J-CAT). Entre le 14 avril et le 17 avril, 70 adresses ont été perquisitionnées à travers le monde, et 37 suspects ont été écroués. « Cela comprend l'arrestation de 4 personnes au Royaume-Uni liées à l'exploitation du site, dont le développeur initial du service », a déclaré Europol dans son communiqué. L'opération a permis de révéler 40 000 domaines de phishing liés au groupe, et que 10 000 personnes avaient souscrit à un abonnement.
Un outil pour opérer des attaques
LabHost vendait des abonnements mensuels d'en moyenne 249$ pour utiliser des kits de phishing. Les offres comprenaient entre autres une infrastructure pour l'hébergement des pages, des outils pour interagir avec les victimes, des services personnalisables facilement déployables, un catalogue de cibles en fonction des offres souscrites ainsi que plus de 170 faux sites web.
Mais ce qui faisait la notoriété de cette plateforme, c'était bien son outil de gestion de campagne de phishing intégré, baptisé LabRat. Une fonctionnalité qui permettait de déployer des attaques, de les surveiller et de les contrôler en temps réel. « LabRat a été conçu pour capturer les codes d'authentification et les informations d'identification à deux facteurs, permettant ainsi aux criminels de contourner les mesures de sécurité renforcées », a détaillé Europol.