Атлантское отделение ФБР и индонезийские власти ликвидировали глобальную фишинговую платформу «W3LL», конфисковав инфраструктуру и арестовав предполагаемого разработчика. Это названо первой скоординированной правоприменительной акцией между Соединенными Штатами и Индонезией, направленной против разработчика фишингового комплекта.
W3ll Store представлял собой фишинговый комплект и онлайн-маркетплейс, который позволял киберпреступникам красть тысячи учетных данных и совершать мошеннические операции на сумму более 20 миллионов долларов.
«Этот веб-сайт был изъят в рамках скоординированной правоприменительной акции против W3LL STORE», — гласит сообщение об изъятии на веб-сайте w3ll[.]store.
«Домен w3ll.store был изъят Федеральным бюро расследований в соответствии с ордером на изъятие, выданным Окружным судом США по Северному округу Джорджии на основании 18 U.S.C. §§ 981 и 982 в рамках совместной правоприменительной операции Федерального бюро расследований».
Фишинговый комплект W3LL продавался за 500 долларов и позволял злоумышленникам создавать убедительные копии корпоративных порталов входа для сбора учетных данных. Комплект давал возможность субъектам угроз перехватывать токены сеанса аутентификации, что позволяло злоумышленникам обходить многофакторную аутентификацию и получать доступ к скомпрометированным учетным записям.
Субъект угроз также предлагал маркетплейс под названием W3LLSTORE, где покупались и продавались украденные учетные данные и несанкционированный сетевой доступ.
«Это был не просто фишинг — это была полносервисная платформа для киберпреступности», — заявил специальный агент ФБР Марло Грэм.
Власти сообщают, что маркетплейс способствовал продаже более 25 000 скомпрометированных учетных записей в период с 2019 по 2023 год, и даже после закрытия W3LLSTORE операция продолжалась через зашифрованные платформы обмена сообщениями, где этот инструментарий ребрендировался и продавался другим субъектам угроз.
В период с 2023 по 2024 год фишинговый комплект использовался для атак на более чем 17 000 жертв по всему миру, при этом следователи обнаружили, что разработчик собирал и перепродавал доступ к скомпрометированным учетным записям.
Фишинговая платформа W3LL ранее была связана с кампаниями, нацеленными на корпоративные учетные записи Microsoft 365, и была разработана для поддержки атак типа «компрометация деловой переписки» (BEC) — от первоначального доступа до шпионажа после проникновения.
Фишинговый комплект использовал атаки типа «adversary-in-the-middle» (злоумышленник посередине), при которых легитимные порталы входа проксируются через инфраструктуру злоумышленника.
Это позволяет субъектам угроз отслеживать и перехватывать учетные данные, одноразовые пароли MFA и сеансовые куки в режиме реального времени. Эти сеансовые куки затем могли использоваться для входа в скомпрометированные учетные записи без срабатывания запросов аутентификации MFA.
После получения доступа злоумышленники отслеживали почтовые ящики, создавали правила для электронной почты и выдавали себя за жертв для совершения мошенничества с инвойсами и перенаправления платежей в рамках атак BEC.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Lawrence Abrams
