Uma bem articulada campanha de phishing de um operador de ameaças conhecido como W3LL está se espalhando globalmente e já comprometeu com sucesso mais de 8 mil contas corporativas do Microsoft 365 nos últimos dez meses. De acordo com uma investigação do Group-IB, as ferramentas do W3LL visaram ao menos 56 mil contas do Microsoft 365 desde outubro do ano passado, obtendo uma taxa de sucesso de comprometimento de 14,3%.
Os pesquisadores da empresa de segurança cibernética identificaram cerca de 850 sites de phishing exclusivos atribuídos às ferramentas da gangue no mesmo período de tempo, visando uma variedade de setores, incluindo manufatura, TI, serviços financeiros, consultoria, saúde e serviços jurídicos.
Para começar, a W3LL criou um mercado subterrâneo privado homônimo que atende a uma rede de mais de 500 cibercriminosos, que podem fazer uso de um kit de phishing altamente sofisticado conhecido como Painel W3LL para configurar suas campanhas.
A empresa alega que a gangue opera ao menos desde 2017, quando começou a vender o W3LL SMTP Sender, uma ferramenta personalizada para envio spam de e-mail em massa. Mais tarde, começou a vender um kit de phishing para contas do Microsoft 365 e, posteriormente, abriu a loja W3LL, um sofisticado marketplace subterrâneo exclusivo para membros afiliados. Estima-se que a loja, com mais de 500 usuários ativos e mais de 12 mil itens listados para venda, gerou US$ 500 mil para o grupo apenas nos últimos dez meses.
“O que realmente faz a W3LL Store e seus produtos se destacarem de outros mercados subterrâneos é o fato de ter criado não apenas um mercado, mas um ecossistema de phishing complexo com um conjunto de ferramentas personalizado totalmente compatível que cobre quase toda a cadeia de morte de BEC e pode ser usado por cibercriminosos de todos os níveis de habilidade técnica”, disse Anton Ushakov, chefe adjunto do departamento de investigação criminal de alta tecnologia do Group-IB Europa.
Veja isso
Novo ataque de phishing falsifica o pacote contábil QuickBooks
Hackers usam novas técnicas para explorar sites alvo de phishing
“A crescente demanda por ferramentas de phishing criou um mercado subterrâneo próspero, atraindo um número crescente de fornecedores. Essa competição impulsiona a inovação contínua entre os desenvolvedores de phishing, que buscam aumentar a eficiência de suas ferramentas maliciosas por meio de novos recursos e abordagens para suas operações criminosas”, completou.
O maior atrativo da loja W3LL é o painel W3LL, um dos kits de phishing mais avançados do mercado, projetado para ajudar operadores de ameaças a contornar a autenticação multifator (MFA) em ataques. Ele foi vinculado a 850 sites de phishing nos últimos dez meses, disse o Group-IB. O W3LL também vende outras 16 ferramentas totalmente personalizadas e compatíveis projetadas para fornecer um balcão único para agentes de ameaças de phishing de comprometimento de e-mail comercial (BEC). Eles aparentemente podem ser licenciados por entre US$ 50 e US $ 350 por mês.