LabHost, plateforme de « Phishing-as-a-Service » (PhaaS), propose des kits d'hameçonnage personnalisés visant les banques du Canada. Elle est devenue le n°1 des attaques de phishing selon le rapport de Fortra, une entreprise de cybersécurité.
Le phishing est une technique de cybercriminalité désormais bien connue qui consiste à envoyer des courriels ou des SMS frauduleux pour inciter les destinataires à cliquer sur des liens ou à fournir des informations personnelles ou bancaires. Ces liens mènent à des pages web qui imitent l'apparence de sites légitimes, mais qui sont en fait contrôlées par les pirates et sont très difficiles à détecter même pour les meilleurs antivirus.
Le phishing est une menace croissante pour la sécurité des utilisateurs et des institutions financières, qui peuvent subir des pertes financières, des vols d'identité ou des atteintes à leur réputation. Selon le Centre antifraude du Canada, le phishing a causé plus de 34 millions de dollars de dommages aux Canadiens en 2022. LabHost est l'un des leaders de ce sombre marché et ne propose ni plus ni moins que des abonnements à ses kits de phishing à… n'importe qui.
LabHost, un fournisseur de PhaaS en plein essor
Pour mener des campagnes de phishing, les cybercriminels ont besoin de plusieurs éléments : des kits d'hameçonnage, qui sont des ensembles de fichiers permettant de créer des pages web frauduleuses ; une infrastructure pour héberger ces pages ; un contenu pour rédiger les courriels ou les SMS ; et un outil pour gérer et surveiller les attaques.
Certains cybercriminels créent eux-mêmes ces éléments, mais d'autres préfèrent les louer à des fournisseurs de Phishing-as-a-Service (PhaaS), qui sont des plateformes qui offrent ces services moyennant un abonnement mensuel. Les plateformes PhaaS rendent le phishing plus facilement accessible aux pirates non qualifiés, ce qui élargit considérablement le nombre d'acteurs de la menace et a un impact sur la cybersécurité à plus grande échelle.
11 septembre 2023 à 08h45
LabHost est l'un de ces fournisseurs de PhaaS, qui se spécialise dans le ciblage des banques nord-américaines, en particulier les institutions financières du Canada. LabHost n'est pas un nouveau fournisseur, mais sa popularité a grimpé en flèche après l'introduction de kits d'hameçonnage personnalisés pour les banques canadiennes au cours du premier semestre 2023.
Selon le rapport de Fortra, une entreprise de cybersécurité qui suit l'activité des cybercriminels, LabHost a dépassé Frappo, l'ancienne plateforme PhaaS préférée des cybercriminels, et est devenue le principal moteur de la plupart des attaques de phishing ciblant les clients des banques canadiennes. Bien que LabHost ait subi une panne perturbatrice au début du mois d'octobre 2023, elle a retrouvé un niveau d'activité notable, comptant plusieurs centaines d'attaques par mois.
LabHost, un arsenal de phishing sophistiqué
LabHost propose trois niveaux d'adhésion : Standard (179 dollars/mois), Premium (249 dollars/mois) et World (300 dollars/mois). La première catégorie concerne les banques canadiennes, la deuxième les banques américaines et la troisième 70 institutions du monde entier, à l'exclusion de l'Amérique du Nord. Outre les kits de phishing pour les banques, les modèles comprennent des pages de phishing pour des services en ligne comme Spotify, des services de livraison postale comme DHL et des fournisseurs de services de télécommunication régionaux.
Les cybercriminels qui achètent un accès au panneau LabHost disposent de plusieurs options d'installation pour créer rapidement des attaques personnalisées. Ils peuvent choisir le nom de domaine, le logo, le design, le contenu et la langue des pages d'hameçonnage. Ils peuvent également configurer des redirections vers des sites légitimes ou des pages d'erreur en cas d'échec de l'attaque.
LabHost dispose également d'outils pour contourner la protection par authentification à deux facteurs (2FA) et pour envoyer des SMS malveillants. « Tous les kits d'escroquerie disponibles chez LabHost fonctionnent avec un outil de gestion de campagne en temps réel appelé LabRat. LabRat permet au phisher de contrôler et de surveiller ses attaques actives », explique Fortra qui ajoute : « Cette fonctionnalité est exploitée dans les attaques de type man-in-the-middle pour obtenir des codes d'authentification à deux facteurs, authentifier des informations d'identification valides et contourner des contrôles de sécurité supplémentaires ».
En outre, lorsque LabHost s'est relancé après la perturbation d'octobre, il a introduit un nouvel outil de spam par SMS appelé LabSend, qui intègre des liens vers les pages d'hameçonnage de LabHost dans les messages SMS. « L'outil LabSend peut coordonner une campagne d'hameçonnage automatisée sur plusieurs SID, en randomisant des portions de messages texte pour éviter la détection de messages de spam malveillants catalogués », peut-on lire dans le rapport de Fortra. « Après avoir envoyé un leurre par SMS, LabSend répondra automatiquement aux réponses des victimes en utilisant des modèles de messages personnalisables ».
LabHost, une menace à prendre au sérieux
LabHost représente une menace sérieuse pour la sécurité des institutions financières et des utilisateurs du Canada, qui sont exposés à des risques de pertes financières, de vols d'identité ou d'atteintes à leur réputation. Fortra recommande aux utilisateurs de se méfier des courriels ou des SMS suspects, de vérifier l'adresse et le certificat des sites web qu'ils visitent, et de ne jamais divulguer leurs informations personnelles ou bancaires à des tiers non autorisés.
Fortra alerte également sur l'existence d'autres plateformes PhaaS notables, telles que Greatness et Robin Banks, qui ont été lancées au milieu de l'année 2022 et qui proposent des fonctionnalités similaires à celles de LabHost. Ces plateformes montrent que le phishing est un phénomène en constante évolution, qui nécessite une vigilance et une prévention accrues de la part des acteurs de la cybersécurité.
- moodEssai 30 jours
- devices5 à 30 appareils
- phishingAnti-phishing inclus
- local_atmAnti-ransomware inclus
- groupsPas de contrôle parental
Source: Bleeping Computer, Phishlab