top of page

W3LL Store: Cómo un Sindicato Secreto de Phishing Ataca Más de 8.000 Cuentas de Microsoft 365


Se ha vinculado a un "imperio de phishing" previamente no documentado a ataques cibernéticos dirigidos a comprometer cuentas de correo electrónico empresarial de Microsoft 365 en los últimos seis años.


"El actor de amenazas creó un mercado subterráneo oculto, llamado W3LL Store, que sirvió a una comunidad cerrada de al menos 500 actores de amenazas que podían comprar un kit de phishing personalizado llamado W3LL Panel, diseñado para eludir la autenticación multifactor (MFA), así como otras 16 herramientas completamente personalizadas para ataques de compromiso de correo electrónico empresarial (BEC)", dijo Group-IB


Se estima que la infraestructura de phishing ha apuntado a más de 56,000 cuentas corporativas de Microsoft 365 y ha comprometido al menos 8,000 de ellas, principalmente en los EE. UU., el Reino Unido, Australia, Alemania, Canadá, Francia, los Países Bajos, Suiza e Italia entre octubre de 2022 y julio de 2023, obteniendo ganancias ilícitas por valor de $500,000 para sus operadores.


Algunos de los sectores prominentes infiltrados utilizando la solución de phishing incluyen la fabricación, tecnología de la información, consultoría, servicios financieros, atención médica y servicios legales. Group-IB dijo que identificó cerca de 850 sitios web de phishing únicos atribuidos a W3LL Panel durante el mismo período.


La empresa de ciberseguridad con sede en Singapur ha descrito a W3LL como un instrumento de phishing todo en uno que ofrece un espectro completo de servicios que van desde herramientas de phishing personalizadas hasta listas de correo y acceso a servidores comprometidos, subrayando la tendencia al alza de las plataformas de phishing como servicio (PhaaS).


Activo desde 2017, el actor de amenazas detrás del kit tiene una historia notable de desarrollar software personalizado para envío masivo de correos electrónicos no deseados (llamado PunnySender y W3LL Sender) antes de centrar su atención en configurar herramientas de phishing para comprometer cuentas de correo electrónico corporativas.


Un componente clave del arsenal de malware de W3LL es un kit de phishing de adversario en el medio (AiTM) que puede eludir las protecciones de autenticación multifactor (MFA). Se ofrece a la venta por $500 por una suscripción de tres meses con una tarifa mensual posterior de $150.


El panel, además de recopilar credenciales, incluye funcionalidad antirrobot para evadir escáneres de contenido web automatizados y prolongar la vida útil de sus campañas de phishing y malware.


Los ataques BEC (Compromiso de Correo Electrónico Empresarial) que utilizan el kit de phishing W3LL implican una fase preparatoria para validar direcciones de correo electrónico utilizando una utilidad auxiliar llamada LOMPAT y enviar los mensajes de phishing.


Las víctimas que abren el enlace o el archivo adjunto falso son redirigidas a través del script anti-bot para filtrar a los visitantes no autorizados (que son dirigidos a Wikipedia) y, finalmente, se las lleva a la página de phishing a través de una cadena de redirecciones que emplea tácticas AitM para robar credenciales y cookies de sesión.


Armado con este acceso, el actor de amenazas procede a iniciar sesión en la cuenta de Microsoft 365 del objetivo sin activar la autenticación multifactor (MFA), automatiza el descubrimiento de cuentas en el host utilizando una herramienta personalizada llamada CONTOOL y recopila correos electrónicos, números de teléfono y otra información.


Algunas de las tácticas destacadas adoptadas por el autor del malware incluyen el uso de Hastebin, un servicio de intercambio de archivos, para almacenar cookies de sesión robadas, así como Telegram y correo electrónico para extraer las credenciales a los actores criminales.


Esta divulgación se produce días después de que Microsoft advirtiera sobre la proliferación de técnicas AitM implementadas a través de plataformas PhaaS como EvilGinx, Modlishka, Muraena, EvilProxy y Greatness, que permiten a los usuarios acceder a sistemas privilegiados sin necesidad de volver a autenticarse a gran escala.


"Lo que realmente distingue a W3LL Store y sus productos de otros mercados clandestinos es el hecho de que W3LL no solo creó un mercado, sino un complejo ecosistema de phishing con un conjunto de herramientas personalizadas totalmente compatibles que cubren casi toda la cadena de ataque de BEC y que pueden ser utilizadas por ciberdelincuentes de todos los niveles técnicos", dijo Anton Ushakov de Group-IB.


"La creciente demanda de herramientas de phishing ha creado un próspero mercado clandestino, atrayendo a un número cada vez mayor de vendedores. Esta competencia impulsa la innovación continua entre los desarrolladores de phishing, que buscan mejorar la eficiencia de sus herramientas maliciosas a través de nuevas características y enfoques en sus operaciones criminales".


¿Quieres saber más?


bottom of page