Se ha vinculado a un "imperio de phishing" previamente no documentado a ataques cibernéticos dirigidos a comprometer cuentas de correo electrónico empresarial de Microsoft 365 en los últimos seis años.
"El actor de amenazas creó un mercado subterráneo oculto, llamado W3LL Store, que sirvió a una comunidad cerrada de al menos 500 actores de amenazas que podÃan comprar un kit de phishing personalizado llamado W3LL Panel, diseñado para eludir la autenticación multifactor (MFA), asà como otras 16 herramientas completamente personalizadas para ataques de compromiso de correo electrónico empresarial (BEC)", dijo Group-IB
Se estima que la infraestructura de phishing ha apuntado a más de 56,000 cuentas corporativas de Microsoft 365 y ha comprometido al menos 8,000 de ellas, principalmente en los EE. UU., el Reino Unido, Australia, Alemania, Canadá, Francia, los PaÃses Bajos, Suiza e Italia entre octubre de 2022 y julio de 2023, obteniendo ganancias ilÃcitas por valor de $500,000 para sus operadores.
Algunos de los sectores prominentes infiltrados utilizando la solución de phishing incluyen la fabricación, tecnologÃa de la información, consultorÃa, servicios financieros, atención médica y servicios legales. Group-IB dijo que identificó cerca de 850 sitios web de phishing únicos atribuidos a W3LL Panel durante el mismo perÃodo.
La empresa de ciberseguridad con sede en Singapur ha descrito a W3LL como un instrumento de phishing todo en uno que ofrece un espectro completo de servicios que van desde herramientas de phishing personalizadas hasta listas de correo y acceso a servidores comprometidos, subrayando la tendencia al alza de las plataformas de phishing como servicio (PhaaS).
Activo desde 2017, el actor de amenazas detrás del kit tiene una historia notable de desarrollar software personalizado para envÃo masivo de correos electrónicos no deseados (llamado PunnySender y W3LL Sender) antes de centrar su atención en configurar herramientas de phishing para comprometer cuentas de correo electrónico corporativas.
Un componente clave del arsenal de malware de W3LL es un kit de phishing de adversario en el medio (AiTM) que puede eludir las protecciones de autenticación multifactor (MFA). Se ofrece a la venta por $500 por una suscripción de tres meses con una tarifa mensual posterior de $150.
El panel, además de recopilar credenciales, incluye funcionalidad antirrobot para evadir escáneres de contenido web automatizados y prolongar la vida útil de sus campañas de phishing y malware.
Los ataques BEC (Compromiso de Correo Electrónico Empresarial) que utilizan el kit de phishing W3LL implican una fase preparatoria para validar direcciones de correo electrónico utilizando una utilidad auxiliar llamada LOMPAT y enviar los mensajes de phishing.
Las vÃctimas que abren el enlace o el archivo adjunto falso son redirigidas a través del script anti-bot para filtrar a los visitantes no autorizados (que son dirigidos a Wikipedia) y, finalmente, se las lleva a la página de phishing a través de una cadena de redirecciones que emplea tácticas AitM para robar credenciales y cookies de sesión.
Armado con este acceso, el actor de amenazas procede a iniciar sesión en la cuenta de Microsoft 365 del objetivo sin activar la autenticación multifactor (MFA), automatiza el descubrimiento de cuentas en el host utilizando una herramienta personalizada llamada CONTOOL y recopila correos electrónicos, números de teléfono y otra información.
Algunas de las tácticas destacadas adoptadas por el autor del malware incluyen el uso de Hastebin, un servicio de intercambio de archivos, para almacenar cookies de sesión robadas, asà como Telegram y correo electrónico para extraer las credenciales a los actores criminales.
Esta divulgación se produce dÃas después de que Microsoft advirtiera sobre la proliferación de técnicas AitM implementadas a través de plataformas PhaaS como EvilGinx, Modlishka, Muraena, EvilProxy y Greatness, que permiten a los usuarios acceder a sistemas privilegiados sin necesidad de volver a autenticarse a gran escala.
"Lo que realmente distingue a W3LL Store y sus productos de otros mercados clandestinos es el hecho de que W3LL no solo creó un mercado, sino un complejo ecosistema de phishing con un conjunto de herramientas personalizadas totalmente compatibles que cubren casi toda la cadena de ataque de BEC y que pueden ser utilizadas por ciberdelincuentes de todos los niveles técnicos", dijo Anton Ushakov de Group-IB.
"La creciente demanda de herramientas de phishing ha creado un próspero mercado clandestino, atrayendo a un número cada vez mayor de vendedores. Esta competencia impulsa la innovación continua entre los desarrolladores de phishing, que buscan mejorar la eficiencia de sus herramientas maliciosas a través de nuevas caracterÃsticas y enfoques en sus operaciones criminales".
¿Quieres saber más?