Um "império de phishing" anteriormente não documentado foi associado a ataques cibernéticos com o objetivo de comprometer contas de e-mail de negócios do Microsoft 365 nos últimos seis anos.
"O ator de ameaça criou um mercado subterrâneo oculto, chamado W3LL Store, que serviu a uma comunidade fechada de pelo menos 500 atores de ameaça que podiam comprar um kit de phishing personalizado chamado W3LL Panel, projetado para burlar o MFA, bem como outras 16 ferramentas totalmente personalizadas para ataques de comprometimento de e-mail de negócios (BEC)", disse Group-IB em um relatório compartilhado com The Hacker News.
Estima-se que a infraestrutura de phishing tenha atingido mais de 56 mil contas corporativas do Microsoft 365 e comprometido pelo menos 8 mil delas, principalmente nos EUA, Reino Unido, Austrália, Alemanha, Canadá, França, Holanda, Suíça e Itália entre outubro de 2022 e julho de 2023, rendendo aos seus operadores $500 mil em lucros ilícitos.
Alguns dos setores proeminentes infiltrados usando a solução de phishing incluem manufatura, TI, consultoria, serviços financeiros, saúde e serviços jurídicos.
Group-IB disse que identificou cerca de 850 sites únicos de phishing atribuídos ao W3LL Panel durante o mesmo período.
A empresa de cibersegurança com sede em Singapura descreveu o W3LL como um instrumento de phishing completo que oferece um espectro completo de serviços, desde ferramentas de phishing personalizadas até listas de mailings e acesso a servidores comprometidos, destacando a tendência ascendente das plataformas de phishing como serviço (PhaaS).
Ativo desde 2017, o ator de ameaça por trás do kit tem um histórico notável de desenvolvimento de software sob medida para spam de email em massa (chamado de PunnySender e W3LL Sender) antes de voltar sua atenção para a criação de ferramentas de phishing para comprometer contas de e-mail corporativas.
Um componente central do arsenal de malware do W3LL é um kit de phishing adversário-no-meio (AiTM) que pode burlar as proteções de autenticação de múltiplos fatores (MFA).
Ele é oferecido para venda por $500 por uma assinatura de três meses com uma taxa mensal subsequente de $150.
O painel, além de colher credenciais, incorpora funcionalidade anti-bot para evitar scanners automáticos de conteúdo da web e estender a vida útil de suas campanhas de phishing e malware.
Os ataques BEC que utilizam o kit de phishing W3LL envolvem uma fase preparatória para validar endereços de e-mail usando uma utilidade auxiliar chamada LOMPAT e enviar as mensagens de phishing.
Vítimas que abrem o link ou anexo falso são direcionadas pelo script anti-bot para filtrar visitantes não autorizados (que são direcionados para a Wikipedia) e, por fim, levá-los à página inicial de phishing por meio de uma cadeia de redirecionamento que emprega táticas AitM para sifonar credenciais e cookies de sessão.
Armado com este acesso, o ator de ameaça então procede para fazer login na conta Microsoft 365 do alvo sem acionar o MFA, automatiza a descoberta de contas no host usando uma ferramenta personalizada apelidada de CONTOOL, e colhe e-mails, números de telefone e outras informações.
Algumas das táticas notáveis adotadas pelo autor do malware são o uso de Hastebin, um serviço de compartilhamento de arquivos, para armazenar cookies de sessão roubados, bem como Telegram e email para exfiltrar as credenciais para os atores criminosos.
A revelação vem dias após a Microsoft alertar sobre uma proliferação de técnicas AiTM implantadas por meio de plataformas PhaaS como EvilGinx, Modlishka, Muraena, EvilProxy e Greatness para permitir que usuários acessem sistemas privilegiados sem autenticação em escala.
"O que realmente faz a W3LL Store e seus produtos se destacarem de outros mercados subterrâneos é o fato de que a W3LL criou não apenas um mercado, mas um ecossistema de phishing complexo com um conjunto de ferramentas personalizado totalmente compatível que cobre quase toda a cadeia de ataque de BEC e pode ser usado por cibercriminosos de todos os níveis", disse Anton Ushakov da Group-IB.
"A crescente demanda por ferramentas de phishing criou um próspero mercado subterrâneo, atraindo um número crescente de fornecedores.
Essa competição impulsiona a inovação contínua entre os desenvolvedores de phishing, que procuram melhorar a eficiência de suas ferramentas malignas por meio de novos recursos e abordagens para suas operações criminosas."
Publicidade
Imagine voltar ao tempo dos e-zines e poder desfrutar de uma boa revista contendo as últimas novidades, mas na pegada hacking old school.
Acesse gratuitamente o Cyberpunk Guide e fique por dentro dos mais modernos dispositivos usados pelos hackers.
Saiba mais...