Hizmet Olarak Kimlik Avı (PhaaS) platformu ‘LabHost’, siber suçluların Kuzey Amerika bankalarını, özellikle de Kanada’daki finans kuruluşlarını hedef almasına yardımcı olarak faaliyetlerde kayda değer bir artışa neden oluyor.
PhaaS platformları, aylık abonelik karşılığında siber suçlulara anahtar teslimi kimlik avı kitleri, sayfaları barındırmak için altyapı, e-posta içeriği oluşturma ve kampanya genel bakış hizmetleri sağlar.
LabHost yeni bir sağlayıcı değil, ancak 2023’ün ilk yarısında Kanada bankaları için özel kimlik avı kitlerinin kullanıma sunulmasının ardından popülaritesi arttı.
Siber suçlunun faaliyetlerini takip eden Fortra, LabHost’un siber suçluların önceki favori PhaaS platformu Frappo’yu geride bıraktığını ve şu anda Kanadalı banka müşterilerini hedef alan çoğu kimlik avı saldırısının arkasındaki birincil itici güç olduğunu bildirdi.
LabHost, Ekim 2023’ün başlarında yıkıcı bir kesinti yaşamasına rağmen, ayda birkaç yüzlerce saldırı sayılarak etkinliğini kayda değer seviyelere geri getirdi.
Fortra, ortaya çıkan tehdit hakkında uyarıda bulunmak için ilk olarak iki hafta önce blog bölümünde bir gönderi yayınladı, ancak muhtemelen kendi hesaplarıyla operasyona sızdıktan sonra dün LabHost ve iç işleyişi hakkında daha fazla ayrıntı ekledi.
LabHost’un içine bir bakış
LabHost üç üyelik katmanı sunar: Standart (179 ABD Doları/ay), Premium (249 ABD Doları/ay) ve Dünya (300 ABD Doları/ay).
Bunlardan ilki Kanada bankalarına odaklanıyor, ikincisi ABD bankalarını içeriyor, üçüncüsü ise Kuzey Amerika hariç dünya çapında 70 kurumu hedefliyor.
Şablonlar, bankalara yönelik kimlik avı kitlerinin yanı sıra Spotify gibi çevrimiçi hizmetlere, DHL gibi posta dağıtım hizmetlerine ve bölgesel telekomünikasyon hizmet sağlayıcılarına yönelik kimlik avı sayfalarını da içeriyor.
LabHost paneline erişim satın alan siber suçlulara, özel saldırıları hızla gerçekleştirebilmeleri için birden fazla kurulum seçeneği sunulur.
LabHost, kimlik avı sürecini siber suçluların aktif bir kimlik avı saldırısını izlemesine ve kontrol etmesine olanak tanıyan gerçek zamanlı bir kimlik avı yönetim aracı olan ‘LabRat’a bağlayarak saldırganların hedeflenen hesaplarda 2FA korumasını çalmasına olanak tanır.
Fortra, “LabHost’ta bulunan tüm dolandırıcılık kitleri, LabRat adlı gerçek zamanlı bir kampanya yönetimi aracıyla birlikte çalışır. LabRat, kimlik avcısının aktif saldırılarını kontrol etmesine ve izlemesine olanak tanır” diye açıklıyor.
“Bu işlevsellik, iki faktörlü kimlik doğrulama kodlarını elde etmek, geçerli kimlik bilgilerini doğrulamak ve ek güvenlik kontrollerini atlamak için ortadaki adam tarzı saldırılarda kullanılıyor.”
Yukarıdakilere ek olarak, LabHost Ekim kesintisinin ardından yeniden başlatıldığında, SMS mesajlarına LabHost kimlik avı sayfalarına bağlantılar ekleyen ‘LabSend’ adlı yeni bir SMS spam aracını tanıttı.
Fortra’nın raporunda “LabSend aracı, kataloglanmış kötü amaçlı spam mesajlarının tespitinden kaçınmak için metin mesajlarının bölümlerini rastgele düzenleyerek birden fazla SID genelinde otomatik bir smishing kampanyasını koordine edebilir” diyor.
“Bir SMS cazibesi gönderdikten sonra LabSend, özelleştirilebilir mesaj şablonlarını kullanarak kurbanların yanıtlarına otomatik olarak yanıt verecektir.”
Hizmet Olarak Kimlik Avı platformları, siber suçları vasıfsız bilgisayar korsanları için daha kolay erişilebilir hale getirerek tehdit aktörleri havuzunu önemli ölçüde genişletiyor ve siber güvenliği daha geniş ölçekte etkiliyor.
Araştırmacıların yakın zamanda uyardığı diğer önemli PhaaS platformları ise MFA atlama, özel kimlik avı kitleri ve yönetici panelleri içeren ve her ikisi de 2022 ortalarında piyasaya sürülen ‘Greatness’ ve ‘Robin Banks’.