La Oficina Federal de Investigaciones (FBI) de EE. UU., en asociación con la Policía Nacional de Indonesia, ha desmantelado la infraestructura asociada con una operación de phishing global que aprovechó un conjunto de herramientas disponible en el mercado llamado W3LL para robar las credenciales de cuentas de miles de víctimas e intentar fraude por más de 20 millones de dólares.
Al mismo tiempo, las autoridades detuvieron al presunto desarrollador, identificado como GL, y confiscaron dominios clave vinculados al esquema de phishing. «La eliminación corta un recurso importante utilizado por los ciberdelincuentes para obtener acceso no autorizado a las cuentas de las víctimas», dijo el FBI en un comunicado.
El kit de phishing W3LL permitió a los delincuentes imitar páginas de inicio de sesión legítimas para engañar a las víctimas para que entregaran sus credenciales, permitiendo así a los atacantes tomar el control de sus cuentas. El kit de phishing se anunciaba por una tarifa de unos 500 dólares.
El kit de phishing permitió a sus clientes implementar sitios web falsos que imitaban a sus contrapartes legítimas, haciéndose pasar por portales de inicio de sesión confiables para recopilar credenciales.
«Esto no era sólo phishing, era una plataforma de cibercrimen de servicio completo», dijo el agente especial a cargo del FBI en Atlanta, Marlo Graham. «Continuaremos trabajando con nuestros socios encargados de hacer cumplir la ley nacionales y extranjeros, utilizando todas las herramientas disponibles para proteger al público».
W3LL fue documentado por primera vez por Group-IB, con sede en Singapur, en septiembre de 2023, destacando el uso por parte de los operadores de un mercado clandestino llamado W3LL Store que prestaba servicios a aproximadamente 500 actores de amenazas y les permitía comprar acceso al kit de phishing W3LL Panel junto con otras herramientas de cibercrimen para ataques de compromiso de correo electrónico empresarial (BEC).
La empresa de ciberseguridad describió W3LL como una plataforma de phishing todo en uno que ofrece una amplia gama de servicios, desde herramientas de phishing personalizadas y listas de correo hasta acceso a servidores comprometidos. Se cree que el actor de amenazas detrás del servicio ilícito ha estado activo desde 2017, y anteriormente desarrolló herramientas de spam de correo electrónico masivo como PunnySender y W3LL Sender.
Según el FBI, la Tienda W3LL también facilitó la venta de credenciales robadas y el acceso no autorizado al sistema, incluidas conexiones de escritorio remoto. Se estima que se vendieron más de 25.000 cuentas comprometidas en las tiendas entre 2019 y 2023.
«Centrado principalmente en las credenciales de Microsoft 365, W3LL utiliza un adversario en el medio (AitM) para secuestrar las cookies de sesión y evitar la autenticación multifactor», dijo Hunt.io en un informe publicado en marzo de 2024.
Luego, el año pasado, la empresa de seguridad francesa Sekoia, en su análisis de otro kit de phishing conocido como Sneaky 2FA, reveló que la herramienta «reutilizaba algunos fragmentos de código» del sindicato de phishing W3LL Store, añadiendo que en los últimos años han circulado versiones crackeadas de W3LL.
«Incluso después del cierre de W3LLSTORE en 2023, la operación continuó a través de plataformas de mensajería cifrada, donde la herramienta fue renombrada y comercializada activamente», dijo el FBI. «Solo entre 2023 y 2024, el kit de phishing se utilizó para atacar a más de 17.000 víctimas en todo el mundo».
«El desarrollador detrás de la herramienta recopiló y revendió el acceso a cuentas comprometidas, amplificando el alcance y el impacto del plan».