Un «imperio de phishing» previamente indocumentado ha sido vinculado a ataques cibernéticos destinados a comprometer las cuentas de correo electrónico empresarial de Microsoft 365 durante los últimos seis años.
«El actor de amenazas creó un mercado clandestino oculto, llamado W3LL Store, que servía a una comunidad cerrada de al menos 500 actores de amenazas que podían comprar un kit de phishing personalizado llamado W3LL Panel, diseñado para eludir MFA, así como otras 16 herramientas totalmente personalizadas para Ataques de compromiso de correo electrónico empresarial (BEC),» Group-IB dicho en un informe compartido con The Hacker News.
Se estima que la infraestructura de phishing se dirigió a más de 56.000 cuentas corporativas de Microsoft 365 y comprometió al menos 8.000 de ellas, principalmente en los EE. UU., el Reino Unido, Australia, Alemania, Canadá, Francia, los Países Bajos, Suiza e Italia entre octubre de 2022 y julio de 2023, generando a sus operadores 500.000 dólares en ganancias ilícitas.
Algunos de los sectores destacados infiltrados mediante la solución de phishing incluyen fabricación, TI, consultoría, servicios financieros, atención médica y servicios legales. Group-IB dijo que identificó cerca de 850 sitios web de phishing únicos atribuidos al Panel W3LL durante el mismo período.
La empresa de ciberseguridad con sede en Singapur ha descrito W3LL como un instrumento de phishing todo en uno que ofrece un espectro completo de servicios que van desde herramientas de phishing personalizadas hasta listas de correo y acceso a servidores comprometidos, lo que subraya la tendencia al alza del phishing como un plataformas de servicios (PhaaS).
Activo desde 2017, el actor de amenazas detrás del kit tiene un historial de desarrollo de software personalizado para correo no deseado masivo (llamado PunnySender y W3LL Sender) antes de centrar su atención en configurar herramientas de phishing para comprometer cuentas de correo electrónico corporativas.
Un componente central del arsenal de malware de W3LL es un kit de phishing de adversario en el medio (AiTM) que puede eludir las protecciones de autenticación multifactor (MFA). Se ofrece a la venta por $500 por una suscripción de tres meses con una tarifa mensual posterior de $150.
El panel, además de recolectar credenciales, incluye funcionalidad anti-bot para evadir los escáneres automatizados de contenido web y extender la vida útil de sus campañas de phishing y malware.
Los ataques BEC que aprovechan el kit de phishing W3LL implican una fase preparatoria para validar las direcciones de correo electrónico utilizando una utilidad auxiliar denominada LOMPAT y entregar los mensajes de phishing.
Las víctimas que abren el enlace o el archivo adjunto falso pasan por el script anti-bot para filtrar a los visitantes no autorizados (que son dirigidos a Wikipedia) y, en última instancia, llevarlos a la página de inicio de phishing a través de una cadena de redireccionamiento que emplea tácticas de AitM para desviar credenciales y sesiones. galletas.
Armado con este acceso, el actor de amenazas procede a iniciar sesión en la cuenta de Microsoft 365 del objetivo sin activar MFA, automatiza el descubrimiento de cuentas en el host utilizando una herramienta personalizada denominada CONTOOL y recopila correos electrónicos, números de teléfono y otra información.
Detectar, responder, proteger: ITDR y SSPM para una seguridad SaaS completa
Descubra cómo Identity ThreatDetection & Response (ITDR) identifica y mitiga las amenazas con la ayuda de SSPM. Aprenda cómo proteger sus aplicaciones SaaS corporativas y proteger sus datos, incluso después de una vulneración.
Algunas de las tácticas notables adoptadas por el autor del malware son el uso de Hastebin, un servicio de intercambio de archivos, para almacenar cookies de sesión robadas, así como Telegram y correo electrónico para filtrar las credenciales a los actores criminales.
La divulgación se produce días después de que Microsoft advirtiera sobre una proliferación de técnicas AiTM implementadas a través de plataformas PhaaS como EvilGinx, Modlishka, Muraena, EvilProxy y Greatness para permitir a los usuarios acceder a sistemas privilegiados sin volver a autenticarse a escala.
«Lo que realmente hace que W3LL Store y sus productos se destaquen de otros mercados clandestinos es el hecho de que W3LL creó no solo un mercado sino un complejo ecosistema de phishing con un conjunto de herramientas personalizadas totalmente compatible que cubre casi toda la cadena de eliminación de BEC y puede ser utilizado por ciberdelincuentes de todos los niveles técnicos», dijo Anton Ushakov del Grupo IB.
«La creciente demanda de herramientas de phishing ha creado un próspero mercado clandestino que atrae a un número cada vez mayor de proveedores. Esta competencia impulsa la innovación continua entre los desarrolladores de phishing, que buscan mejorar la eficiencia de sus herramientas maliciosas a través de nuevas características y enfoques para sus operaciones criminales. «