W3LL Store: Como uma Organização Obscura de Phishing visa mais de 8.000 Contas do Microsoft 365
6 de Setembro de 2023

Um "império de phishing" anteriormente não documentado foi associado a ataques cibernéticos com o objetivo de comprometer contas de e-mail de negócios do Microsoft 365 nos últimos seis anos.

"O ator de ameaça criou um mercado subterrâneo oculto, chamado W3LL Store, que serviu a uma comunidade fechada de pelo menos 500 atores de ameaça que podiam comprar um kit de phishing personalizado chamado W3LL Panel, projetado para burlar o MFA, bem como outras 16 ferramentas totalmente personalizadas para ataques de comprometimento de e-mail de negócios (BEC)", disse Group-IB em um relatório compartilhado com The Hacker News.

Estima-se que a infraestrutura de phishing tenha atingido mais de 56 mil contas corporativas do Microsoft 365 e comprometido pelo menos 8 mil delas, principalmente nos EUA, Reino Unido, Austrália, Alemanha, Canadá, França, Holanda, Suíça e Itália entre outubro de 2022 e julho de 2023, rendendo aos seus operadores $500 mil em lucros ilícitos.

Alguns dos setores proeminentes infiltrados usando a solução de phishing incluem manufatura, TI, consultoria, serviços financeiros, saúde e serviços jurídicos.

Group-IB disse que identificou cerca de 850 sites únicos de phishing atribuídos ao W3LL Panel durante o mesmo período.

A empresa de cibersegurança com sede em Singapura descreveu o W3LL como um instrumento de phishing completo que oferece um espectro completo de serviços, desde ferramentas de phishing personalizadas até listas de mailings e acesso a servidores comprometidos, destacando a tendência ascendente das plataformas de phishing como serviço (PhaaS).

Ativo desde 2017, o ator de ameaça por trás do kit tem um histórico notável de desenvolvimento de software sob medida para spam de email em massa (chamado de PunnySender e W3LL Sender) antes de voltar sua atenção para a criação de ferramentas de phishing para comprometer contas de e-mail corporativas.

Um componente central do arsenal de malware do W3LL é um kit de phishing adversário-no-meio (AiTM) que pode burlar as proteções de autenticação de múltiplos fatores (MFA).

Ele é oferecido para venda por $500 por uma assinatura de três meses com uma taxa mensal subsequente de $150.

O painel, além de colher credenciais, incorpora funcionalidade anti-bot para evitar scanners automáticos de conteúdo da web e estender a vida útil de suas campanhas de phishing e malware.

Os ataques BEC que utilizam o kit de phishing W3LL envolvem uma fase preparatória para validar endereços de e-mail usando uma utilidade auxiliar chamada LOMPAT e enviar as mensagens de phishing.

Vítimas que abrem o link ou anexo falso são direcionadas pelo script anti-bot para filtrar visitantes não autorizados (que são direcionados para a Wikipedia) e, por fim, levá-los à página inicial de phishing por meio de uma cadeia de redirecionamento que emprega táticas AitM para sifonar credenciais e cookies de sessão.

Armado com este acesso, o ator de ameaça então procede para fazer login na conta Microsoft 365 do alvo sem acionar o MFA, automatiza a descoberta de contas no host usando uma ferramenta personalizada apelidada de CONTOOL, e colhe e-mails, números de telefone e outras informações.

Algumas das táticas notáveis adotadas pelo autor do malware são o uso de Hastebin, um serviço de compartilhamento de arquivos, para armazenar cookies de sessão roubados, bem como Telegram e email para exfiltrar as credenciais para os atores criminosos.

A revelação vem dias após a Microsoft alertar sobre uma proliferação de técnicas AiTM implantadas por meio de plataformas PhaaS como EvilGinx, Modlishka, Muraena, EvilProxy e Greatness para permitir que usuários acessem sistemas privilegiados sem autenticação em escala.

"O que realmente faz a W3LL Store e seus produtos se destacarem de outros mercados subterrâneos é o fato de que a W3LL criou não apenas um mercado, mas um ecossistema de phishing complexo com um conjunto de ferramentas personalizado totalmente compatível que cobre quase toda a cadeia de ataque de BEC e pode ser usado por cibercriminosos de todos os níveis", disse Anton Ushakov da Group-IB.

"A crescente demanda por ferramentas de phishing criou um próspero mercado subterrâneo, atraindo um número crescente de fornecedores.

Essa competição impulsiona a inovação contínua entre os desenvolvedores de phishing, que procuram melhorar a eficiência de suas ferramentas malignas por meio de novos recursos e abordagens para suas operações criminosas."

Publicidade

Proteja sua empresa contra hackers através de um Pentest

Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...