La Oficina Federal de Investigaciones (FBI) de EE. UU., en asociación con la Policía Doméstico de Indonesia, ha desmantelado la infraestructura asociada con una operación de phishing total que aprovechó un conjunto de herramientas arreglado en el mercado llamado W3LL para robar las credenciales de cuentas de miles de víctimas e intentar fraude por más de 20 millones de dólares.
Al mismo tiempo, las autoridades detuvieron al supuesto desarrollador, identificado como GL, y confiscaron dominios secreto vinculados al esquema de phishing. “La aniquilación corta un petición importante utilizado por los ciberdelincuentes para obtener acercamiento no acreditado a las cuentas de las víctimas”, dijo el FBI en un comunicado.
El kit de phishing W3LL permitió a los delincuentes imitar páginas de inicio de sesión legítimas para engañar a las víctimas para que entregaran sus credenciales, permitiendo así a los atacantes tomar el control de sus cuentas. El kit de phishing se anunciaba por una tarifa de unos 500 dólares.
El kit de phishing permitió a sus clientes implementar sitios web falsos que imitaban a sus contrapartes legítimas, haciéndose ocurrir por portales de inicio de sesión confiables para resumir credenciales.
“Esto no era sólo phishing, era una plataforma de cibercrimen de servicio completo”, dijo el agente específico a cargo del FBI en Atlanta, Marlo Graham. “Continuaremos trabajando con nuestros socios encargados de hacer cumplir la ley nacionales y extranjeros, utilizando todas las herramientas disponibles para proteger al divulgado”.
W3LL fue documentado por primera vez por Group-IB, con sede en Singapur, en septiembre de 2023, destacando el uso por parte de los operadores de un mercado clandestino llamado W3LL Store que prestaba servicios a aproximadamente 500 actores de amenazas y les permitía comprar acercamiento al kit de phishing W3LL Panel adyacente con otras herramientas de cibercrimen para ataques de compromiso de correo electrónico empresarial (BEC).
La empresa de ciberseguridad describió W3LL como una plataforma de phishing todo en uno que ofrece una amplia serie de servicios, desde herramientas de phishing personalizadas y listas de correo hasta acercamiento a servidores comprometidos. Se cree que el actor de amenazas detrás del servicio ilícito ha estado activo desde 2017, y anteriormente desarrolló herramientas de spam de correo electrónico masivo como PunnySender y W3LL Sender.
Según el FBI, la Tienda W3LL además facilitó la traspaso de credenciales robadas y el acercamiento no acreditado al sistema, incluidas conexiones de escritorio remoto. Se estima que se vendieron más de 25.000 cuentas comprometidas en las tiendas entre 2019 y 2023.
“Centrado principalmente en las credenciales de Microsoft 365, W3LL utiliza un adversario en el medio (AitM) para secuestrar las cookies de sesión y evitar la autenticación multifactor”, dijo Hunt.io en un mensaje publicado en marzo de 2024.
Luego, el año pasado, la empresa de seguridad francesa Sekoia, en su observación de otro kit de phishing conocido como Sneaky 2FA, reveló que la aparejo “reutilizaba algunos fragmentos de código” del sindicato de phishing W3LL Store, añadiendo que en los últimos abriles han circulado versiones crackeadas de W3LL.
“Incluso posteriormente del falleba de W3LLSTORE en 2023, la operación continuó a través de plataformas de transporte cifrada, donde la aparejo fue renombrada y comercializada activamente”, dijo el FBI. “Solo entre 2023 y 2024, el kit de phishing se utilizó para atacar a más de 17.000 víctimas en todo el mundo”.
“El desarrollador detrás de la aparejo recopiló y revendió el acercamiento a cuentas comprometidas, amplificando el zona de influencia y el impacto del plan”.
