18/04/25
После ликвидации одного из крупнейших фишинговых сервисов LabHost в 2024 году, рынок фишинга на заказ (PhaaS) оказался в нестабильном состоянии. Многие клиенты LabHost начали срочно искать альтернативные каналы для продолжения фишинговой деятельности. В этом вакууме быстро проявил себя новый игрок — SheByte, пишут в Securitylab.
LabHost долгие годы считался одним из главных поставщиков фишинговых инструментов для атак на канадские банки , особенно в связке с брендом Interac. По статистике Fortra, именно через LabHost проходило до 75% всего фишингового трафика, замаскированного под Interac. После закрытия платформы объём таких атак действительно сократился почти в два раза, но не до нуля — злоумышленники начали массово мигрировать на другие сервисы. Одним из немногих, кто стал продвигать свои услуги открыто и агрессивно, стал SheByte.
Появление SheByte впервые зафиксировано в мае 2024 года, когда в Telegram появился одноимённый канал с мультяшным логотипом в стиле Бетти Пейдж. Платформа официально запустилась в середине июня, и уже в первые недели стала генерировать около 10% всего Interac-фишинга. До полного запуска в тестовом режиме SheByte уже охватывал 8% атак, причём число их быстро росло.
Как и LabHost, SheByte предложил универсальные шаблоны фишинговых страниц с возможностью маскировки под крупнейшие банки Канады. Уже в момент запуска набор включал страницы для 17 канадских и 4 американских банков, а также популярных email-сервисов, телеком-операторов, криптобирж и даже платных дорог. При этом была заявлена поддержка динамической кастомизации — злоумышленники могли не только выбирать шаблон, но и дорабатывать его под конкретную кампанию.
Тариф у платформы единый — $199 в месяц, при длительной подписке предусмотрены скидки. За эту сумму клиенты получают полный доступ к фишинговым шаблонам, антидетект-инструментам и LiveRAT — панели для удалённого управления активными атаками. По сути, LiveRAT воспроизводит возможности LabRAT от LabHost: позволяет в реальном времени наблюдать за жертвой, перехватывать коды двухфакторной аутентификации, инициировать дополнительные запросы и отправлять произвольные сообщения в интерфейсе «псевдобанка».
Отдельное внимание SheByte уделяет защите от анализа. В платформе можно задать блокировку по геолокации, отсеивать IP-адреса VPN и известных прокси, а также запрещать трафик с виртуальных машин. Если этого недостаточно, фишинг начинается с CAPTCHA — для затруднения автоматического анализа и парсинга. Эти функции интегрированы в панель управления и доступны из коробки каждому клиенту.
Интересно, что разработчик SheByte публично подчёркивает: над проектом работает один человек. Это позиционируется как преимущество, поскольку крупные платформы типа LabHost стали уязвимыми именно из-за количества вовлечённых разработчиков, что привело к утечкам информации и арестам. Кроме того, SheByte утверждает, что не сохраняет логи и применяет сквозное шифрование для похищенной информации, хотя достоверность этих заявлений остаётся под вопросом.
С технической точки зрения новая версия Interac-набора, представленная в феврале 2025 года, существенно усложняет обнаружение атак. Файлы используют рандомизированные имена, каталоги генерируются по схожему принципу, а сама структура фишинговых страниц регулярно обновляется. Признаками активности SheByte служат, в частности, специфичные пути start.php в устаревшей версии V1 и алфавитно-цифровые шаблоны длиной 7–9 символов в новых версиях.
После небольшого спада в осенние месяцы 2024 года, когда платформа подверглась кибератаке со стороны конкурентов (в частности, Frappo), SheByte вновь набирает обороты. Заметный рост фишинговых атак начался в декабре 2024 года, с выходом так называемых «v2»-страниц. Несмотря на то, что Interac-маскировка была внедрена в конструктор лишь в начале 2025 года, интерес к платформе стремительно вырос. Это может означать, что рынок фишинга адаптировался к закрытию LabHost и нашёл себе нового лидера.
Хотя SheByte пока не достиг масштабов LabHost, платформа уже считается главным претендентом на эту роль. Благодаря открытой модели распространения, широкой поддержке брендов и активному развитию технической части, сервис быстро занял освободившуюся нишу. Если правоохранительные органы не вмешаются, SheByte может стать новой главной угрозой для финансовых учреждений Канады и США.
