Le FBI a révélé une liste de 42 000 domaines de phishing liés à LabHost, une plateforme criminelle de phishing-as-a-service (PhaaS) démantelée en avril 2024, pour aider les organisations à identifier d’éventuelles compromissions.Entre novembre 2021 et avril 2024, LabHost a été l’un des outils les plus puissants et les plus utilisés par les cybercriminels pour orchestrer des attaques de phishing à l’échelle mondiale. Développée comme une plateforme de phishing en tant que service, elle permettait à des milliers d’utilisateurs d’usurper l’identité de grandes entreprises et institutions pour dérober des données sensibles. Le 18 avril 2024, après une vaste opération coordonnée par Europol, le FBI a publié une alerte Flash accompagnée d’une liste de plus de 42 000 domaines utilisés à des fins malveillantes, visant à sensibiliser les professionnels de la cybersécurité et faciliter la détection rétrospective de compromissions. Cette annonce marque une nouvelle étape dans la lutte contre les infrastructures cybercriminelles structurées.
LabHost n’était pas une simple vitrine de cybercriminalité, mais une véritable usine à phishing. Son modèle économique reposait sur un abonnement mensuel, en moyenne 249 dollars (environ 230 euros), donnant accès à une suite d’outils professionnels. Les utilisateurs pouvaient facilement déployer des sites frauduleux imitant fidèlement plus de 170 organisations internationales, notamment des banques, des services publics ou encore des institutions gouvernementales. En plus des faux sites, LabHost proposait un service complet : hébergement, modèles de courriels et SMS, et surtout une fonctionnalité redoutable baptisée LabRat.
LabRat est l’arme secrète qui a fait de LabHost une menace particulièrement sophistiquée. Il s’agit d’un outil interactif permettant aux escrocs de surveiller en temps réel les victimes, de collecter identifiants et mots de passe, mais aussi les codes à usage unique générés par l’authentification à deux facteurs. Grâce à cette fonctionnalité, les criminels pouvaient contourner les protections renforcées et accéder aux comptes bancaires ou services sensibles, même lorsque les victimes pensaient être protégées.
L’efficacité de la plateforme repose également sur sa simplicité d’utilisation. Elle visait un public non technique en proposant une interface conviviale, un support technique, et une logique de service client, rendant accessible le phishing à une population élargie de cybercriminels. Cette professionnalisation du crime numérique a contribué à une explosion des campagnes de phishing ces dernières années. En automatisant et centralisant toutes les étapes d’une attaque, LabHost a permis à ses utilisateurs de générer un volume massif d’attaques en très peu de temps.« LabHost stockait plus d’un million d’identifiants et 500 000 données de cartes de crédit », a déclaré Europol après le démantèlement.
Ce modèle industriel du phishing a inquiété les autorités depuis plusieurs mois. En avril 2024, l’opération « Nebulae », pilotée par Europol, a permis d’interrompre le fonctionnement de LabHost. Dix-neuf pays ont été mobilisés, avec des perquisitions dans plus de 70 lieux à travers le monde. Trente-sept personnes ont été arrêtées, dont quatre au Royaume-Uni, parmi lesquelles le développeur originel de la plateforme. Cette coordination internationale témoigne de l’ampleur du phénomène et de la détermination croissante des agences à démanteler les réseaux PhaaS.
Le FBI, en collaboration avec ses partenaires internationaux, a pu accéder au serveur principal de LabHost. C’est à partir de cette source que les 42 000 noms de domaines ont été extraits. Ces noms de domaines, enregistrés entre fin 2021 et avril 2024, forment une cartographie inédite de l’infrastructure utilisée par les cybercriminels. Le Bureau précise toutefois que cette liste n’a pas été entièrement vérifiée, certains noms pouvant être le fruit de fautes de frappe ou de variations inutilisées. Néanmoins, elle constitue un outil précieux pour les équipes de cybersécurité qui peuvent désormais l’exploiter pour traquer d’éventuelles traces de compromission dans leurs historiques de logs et systèmes.
Mais leur utilité est surtout préventive. En les diffusant publiquement, le FBI espère renforcer la vigilance face à la réutilisation potentielle de ces noms de domaine, par exemple dans des campagnes ultérieures ou via des techniques de typosquatting. Il invite les entreprises, institutions et hébergeurs à scruter leurs journaux de sécurité, identifier les connexions suspectes et, si nécessaire, prendre des mesures d’atténuation immédiates. Cette publication marque également une évolution stratégique : partager massivement les indicateurs de compromission avec le secteur privé devient un levier central dans la lutte contre les cybermenaces.« Ces informations sont historiques et certains domaines peuvent ne plus être actifs ou malveillants à l’heure actuelle », souligne le FBI dans son alerte.
L’affaire LabHost met aussi en lumière la professionnalisation croissante des services illégaux sur le dark web. Le phishing-as-a-service (PhaaS) s’inspire directement du modèle SaaS (Software as a Service), utilisé dans le secteur technologique légitime. Il industrialise l’escroquerie, en rendant la cybercriminalité accessible par abonnement. À l’instar d’une plateforme comme Netflix ou Shopify, LabHost permettait aux abonnés de lancer des campagnes à la carte, de suivre leur performance en temps réel et de bénéficier d’un support client. Cette transformation remet en question les outils traditionnels de cybersécurité, souvent mal préparés à contrer des infrastructures aussi structurées.
Si LabHost a été démantelé, le phénomène PhaaS est loin d’être éradiqué. D’autres plateformes similaires continuent d’opérer, parfois dans l’ombre, parfois avec des mécanismes de résilience plus complexes. Le démantèlement de LabHost, bien qu’essentiel, n’est qu’un épisode dans une guerre de longue haleine contre une économie souterraine qui évolue sans cesse.
Le FBI, en publiant ces données, envoie un message clair : l’opacité ne protège plus les cybercriminels. L’accès aux preuves numériques et leur diffusion rapide deviennent des armes efficaces. Mais cette stratégie de transparence soulève aussi des défis. Faut-il systématiquement rendre publiques ces informations ? Comment éviter qu’elles soient réexploitées ? Et jusqu’à quel point les États doivent-ils collaborer pour enrayer une menace mondialisée, aux ramifications technologiques et financières toujours plus fines ?
À l’heure où le phishing demeure l’une des principales portes d’entrée des attaques informatiques, cette affaire incite à revoir les stratégies de défense, à sensibiliser les utilisateurs, et à s’interroger sur les formes que prendra le phishing de demain. Car si LabHost est tombé, qu’en est-il de son successeur ?
Analyse de ZATAZ des 42 000 sites frauduleux
Voici notre analyse menée sur ces dizaines de milliers de domaines fournis par le FBI utilisés dans les campagnes de phishing. Elle révèle une exploitation massive d’extensions courantes pour tromper les internautes.
L’extension .com est la plus utilisée, avec 21 777 occurrences. Elle est suivie par .info (5 005), .ca (3 554), et .online (2 832). L’extension française .fr apparaît dans 9 cas. Ces choix montrent une préférence pour des extensions familières, utilisées pour renforcer la crédibilité des adresses malveillantes.
Sur le plan temporel, l’analyse a mis en évidence des pics de création concentrés sur certains jours, laissant apparaître des vagues de dépôts coordonnées, typiques de campagnes de phishing planifiées.
Concernant les pays ou régions cibles, 36 090 domaines n’ont pas permis une identification géographique claire. En revanche, certaines extensions géolocalisées apparaissent fréquemment : .ca (Canada) avec 3 618 cas, .co (Colombie ou usage commercial) avec 434, .ie (Irlande) avec 193, et .cc (îles Cocos) avec 179 occurrences.
L’analyse textuelle des noms de domaine révèle une forte présence de mots-clés liés à la sécurité ou aux services bancaires :
« secure » : 2 682 occurrences
« bank » : 1 371 occurrences
« auth » : 1 092 occurrences
« login » : 1 071 occurrences
Ces éléments montrent une stratégie visant à imiter des interfaces d’authentification ou des services de confiance pour tromper les utilisateurs.
merci à ZATAZ
