O escritório do Federal Bureau of Investigation em Atlanta, em parceria com autoridades da Indonésia, desmantelou a infraestrutura ligada à plataforma global de phishing W3LL, apreendeu seus domínios e prendeu o suposto desenvolvedor em uma ação coordenada entre os Estados Unidos e a Indonésia contra o criador do phishing kit. Segundo as autoridades, trata-se da primeira operação conjunta desse tipo entre os dois países.
O W3LL Store era um phishing kit e também um marketplace online que permitia a cibercriminosos roubar credenciais de milhares de vítimas e tentar aplicar fraudes que somavam mais de US$ 20 milhões. Na mesma ação, as autoridades prenderam o suposto desenvolvedor, identificado como G.L., e apreenderam domínios importantes relacionados ao esquema.
Em mensagem exibida no domínio w3ll[.]store, as autoridades informaram: “Este website foi apreendido como parte de uma ação coordenada de aplicação da lei tomada contra o W3LL STORE”. O aviso também afirmava que o domínio w3ll.store foi apreendido pelo FBI, em conformidade com um mandado emitido com base nos artigos 18 U.S.C. §§ 981 e 982 pelo Tribunal Distrital dos Estados Unidos para o Distrito Norte da Geórgia, como parte de uma ação conjunta de aplicação da lei conduzida pelo FBI.
Segundo o FBI, a medida interrompe um recurso relevante usado por cibercriminosos para obter acesso não autorizado às contas das vítimas. O phishing kit da W3LL era vendido por US$ 500 e permitia que atacantes criassem cópias convincentes de portais de login corporativos para capturar credenciais.
A ferramenta também conseguia roubar authentication session tokens, o que permitia burlar a autenticação multifator e acessar contas comprometidas. Com isso, os atacantes conseguiam assumir o controle das contas.
Além disso, o grupo mantinha um marketplace chamado W3LLSTORE, onde credenciais roubadas e acessos não autorizados a redes eram comprados e vendidos. “Isso não era apenas phishing, era uma plataforma completa de cibercrime”, afirmou o agente especial responsável do FBI, Marlo Graham.
“Vamos continuar trabalhando com nossos parceiros de aplicação da lei, no país e no exterior, usando todos os recursos disponíveis para proteger o público.”
O W3LL foi documentado pela primeira vez pela Group-IB, de Singapura, em setembro de 2023. Na ocasião, a empresa destacou o uso de um marketplace clandestino chamado W3LL Store, que atendia cerca de 500 agentes maliciosos e permitia a compra do W3LL Panel, junto com outras ferramentas de cibercrime voltadas a ataques de business email compromise, ou BEC.
A empresa de cibersegurança descreveu o W3LL como uma plataforma de phishing completa, com uma ampla gama de serviços, incluindo ferramentas personalizadas de phishing, listas de envio de e-mails e acesso a servidores comprometidos. A plataforma já havia sido associada a campanhas contra contas corporativas do Microsoft 365 e foi projetada para dar suporte a ataques de BEC desde o acesso inicial até a exploração posterior.
Acredita-se que o responsável pelo serviço ilícito esteja ativo desde 2017 e que, antes disso, tenha desenvolvido ferramentas de spam em massa, como PunnySender e W3LL Sender.
Segundo o FBI, a W3LL Store também facilitava a venda de credenciais roubadas e o acesso não autorizado a sistemas, incluindo conexões de desktop remoto. Estima-se que mais de 25.000 contas comprometidas tenham sido comercializadas na loja entre 2019 e 2023.
“Com foco principal em credenciais do Microsoft 365, o W3LL utiliza técnicas de adversary-in-the-middle, ou AitM, para sequestrar cookies de sessão e burlar a autenticação multifator”, afirmou a Hunt.io em um relatório publicado em março de 2024. O phishing kit usava adversary-in-the-middle attacks, técnica em que portais legítimos de login são intermediados pela infraestrutura do atacante.
Isso permitia monitorar e interceptar credenciais, códigos MFA de uso único e session cookies em tempo real. Esses cookies de sessão podiam então ser usados para entrar nas contas comprometidas sem acionar novas solicitações de autenticação multifator.
No ano passado, a empresa francesa de segurança Sekoia revelou, em uma análise de outro kit de phishing chamado Sneaky 2FA, que a ferramenta reutilizava trechos de código do ecossistema fraudulento da W3LL Store. A companhia também apontou que versões crackeadas do W3LL circularam nos últimos anos.
“Mesmo após o encerramento da W3LL Store em 2023, a operação continuou por meio de plataformas de mensagens criptografadas, onde a ferramenta foi rebatizada e promovida ativamente”, disse o FBI. “Entre 2023 e 2024, apenas, o kit de phishing foi usado para atingir mais de 17.000 vítimas em todo o mundo.”
Depois de obter acesso, os atacantes passavam a monitorar caixas de entrada, criar regras de e-mail e se passar pelas vítimas para aplicar fraudes em faturas e redirecionar pagamentos em ataques de BEC. Investigadores também concluíram que o desenvolvedor coletava e revendia o acesso a contas comprometidas, ampliando o alcance e o impacto do esquema.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...