Group-IB ha pubblicato oggi un nuovo rapporto sulle minacce intitolato “W3LL done: Hidden phishing ecosystem driving BEC attacks” (Ben fatto: Ecosistema di phishing occulto perpetra attacchi BEC – Business Email Compromise).
Il rapporto descrive dettagliatamente le operazioni di W3LL, l’attore delle minacce che tira i fili di un impero del phishing finora ampiamente sconosciuto. Le squadre di Threat Intelligence e Cyber Investigation di Group-IB hanno monitorato l’evoluzione di W3LL e scoperto che l’organizzazione ha svolto un ruolo importante nella compromissione di account aziendali di posta elettronica di Microsoft 365 negli ultimi 6 anni. L’attore delle minacce ha creato un marketplace sotterraneo, il W3LL Store, al servizio di una comunità chiusa di almeno 500 cybercriminali che potevano acquistare un kit di phishing personalizzato chiamato W3LL Panel, progettato per eludere l’autenticazione a più fattori (MFA), e altri 16 strumenti completamente personalizzati per gli attacchi atti a compromettere account e-mail aziendali (BEC). Gli investigatori di Group-IB hanno rilevato che gli strumenti di phishing di W3LL sono stati utilizzati per colpire oltre 56.000 account aziendali Microsoft 365 negli Stati Uniti, in Australia e in Europa tra ottobre 2022 e luglio 2023. Secondo una stima approssimativa di Group-IB, negli ultimi 10 mesi il giro d’affari del W3LL Store potrebbe aver raggiunto i 500.000 dollari. Tutte le informazioni su W3LL raccolte dagli investigatori informatici di Group-IB sono state condivise con le forze dell’ordine competenti.
Non parlate mai del W3LL Club
L’inizio della carriera criminale di W3LL risale al 2017, quando sono entrati sul mercato con W3LL SMTP Sender, uno strumento personalizzato per l’invio di massa di mail di spam. In seguito, W3LL ha sviluppato e iniziato a commercializzare la propria versione di un kit di phishing che mirava agli account aziendali di Microsoft 365. La crescente popolarità del comodo set di strumenti ha spinto l’ideatore ad aprire uno store sotterraneo in lingua inglese. Il W3LL Store fu avviato nel 2018. Nel tempo, la piattaforma si è evoluta in un ecosistema BEC totalmente autosufficiente che propone un’ampia gamma di servizi di phishing per criminali informatici di tutti i livelli, dai tool di phishing su misura ad articoli supplementari come elenchi di indirizzi e-mail e accessi a server compromessi.
Il W3LL Store eroga anche servizi di “supporto alla clientela” tramite un sistema di ticketing e una chat web in diretta. I criminali informatici che non hanno le competenze necessarie per utilizzare gli strumenti possono guardare tutorial video. Il W3LL Store è anche dotato di un proprio programma di incentivi per le intermediazioni (con una commissione del 10% sui clienti suggeriti) e consente a terze parti di commercializzare i propri prodotti sulla sua piattaforma (in questo caso W3LL percepisce una commissione del 30%).
Attualmente, il W3LL Store conta oltre 500 utenti attivi. Per diventare clienti del W3LL Store, i nuovi arrivati devono essere raccomandati da membri esistenti. I nuovi utenti hanno tre giorni per depositare fondi sul loro conto, pena la disattivazione dell’account. Lo sviluppatore non pubblicizza il W3LL Store e chiede ai propri clienti di astenersi dal diffondere notizie online al riguardo. Group-IB ha identificato oltre 3.800 articoli venduti tramite la piattaforma tra ottobre 2022 e luglio 2023. Al momento lo store commercializza oltre 12.000 articoli. Il fatturato del W3LL Store degli ultimi 10 mesi è stato stimato in 500.000 dollari.
Analisi dell’infrastruttura di W3LL
L’arma principale di W3LL, il W3LL Panel, può essere considerato uno dei kit di phishing più avanzati della sua categoria poiché dotato di funzionalità “adversary-in-the-middle” (AitM), API, protezione del codice sorgente e altre caratteristiche uniche. Il W3LL Panel non dispone di una varietà di pagine fasulle ed è stato progettato specificamente per compromettere gli account di Microsoft 365. Tuttavia, grazie alla sua elevata efficienza, il kit di phishing gode della fiducia di un ristretto gruppo di criminali BEC, ai quali cui W3LL propone il prodotto in abbonamento per 3 mesi a 500 dollari. I mesi successivi costano 150 dollari ciascuno. Ogni copia del W3LL Panel deve essere abilitata attraverso un meccanismo di attivazione basato su token, che impedisce la rivendita del kit o il furto del codice sorgente.
Da agosto 2023, oltre al kit di phishing W3LL Panel, lo store offre altri 16 strumenti totalmente personalizzati e perfettamente compatibili tra loro. Insieme costituiscono un setup completo per attacchi BEC. Questi strumenti includono Sender SMTP (PunnySender e W3LL Sender), uno stager di link dannosi (W3LL Redirect), uno scanner delle vulnerabilità (OKELO), uno strumento automatizzato per l’individuazione di account (CONTOOL), strumenti di ricognizione e molto altri. Gli strumenti sono disponibili su licenza e costano tra 50 e 350 dollari al mese. Inoltre, W3LL aggiorna regolarmente i suoi strumenti, aggiungendo nuove funzionalità, migliorando i meccanismi anti-rilevazione e creandone di nuovi, il che sottolinea l’importanza di tenersi aggiornati sulle più recenti modifiche delle loro TTP (tattiche, tecniche, procedure).
Phishing W3LL: Geografia delle operazioni
Le campagne di phishing condotte con gli strumenti di W3LL sono altamente persuasive e di solito fanno uso di diversi strumenti sviluppati da W3LL che costituiscono quasi l’intera architettura degli attacchi BEC, fornendo allo stesso tempo un alto grado di automazione e scalabilità. Dopo aver compromesso un obiettivo, i cybercriminali procedono alla fase di identificazione degli account, al termine della quale possono perpetrare i seguenti crimini: furto di dati, truffa con fatture falsificate, impersonificazione del proprietario dell’account o distribuzione di malware tramite l’account di posta elettronica compromesso. Le conseguenze per un’azienda che ha subito un attacco BEC possono andare ben oltre le perdite finanziarie dirette (che possono variare da migliaia di dollari a milioni) e includere la perdita di dati, danni alla reputazione, richieste di risarcimento e persino cause legali.
I ricercatori di Group-IB hanno identificato circa 850 siti web di phishing unici attribuibili a W3LL Panel negli ultimi 10 mesi. Analizzando i gruppi e le chat di Telegram controllati da W3LL, nonché l’infrastruttura legata alle campagne di phishing di W3LL, i ricercatori di Group-IB hanno stabilito che, nello stesso periodo, i cybercriminali che hanno condotto campagne BEC utilizzando gli strumenti di W3LL hanno preso di mira almeno 56.000 account aziendali di Microsoft 365 di cui oltre 8.000 (circa il 14,3%) stati compromessi. Il numero effettivo di vittime e l’impatto finale potrebbero essere significativamente più elevati. Gli strumenti di W3LL sono progettati per colpire le aziende indipendentemente dalla loro collocazione geografica. Tuttavia, la maggior parte dei target identificati sono organizzazioni negli Stati Uniti, nel Regno Unito, in Australia e in Europa (Germania, Francia, Italia, Svizzera, Olanda). I comparti più frequentemente presi di mira, come identificati da Group-IB, sono l’industria manifatturiera, IT, servizi finanziari, servizi di consulenza, assistenza sanitaria e servizi legali.
“Ciò che distingue davvero il W3LL Store e i suoi prodotti dagli altri marketplace sotterranei è il fatto che W3LL non ha solo creato uno store ma un complesso ecosistema di phishing con un set di strumenti personalizzati interamente compatibili attraverso cui cybercriminali di qualsiasi livello di competenza tecnica dispongono di quasi l’intera kill chain degli attacchi BEC”, afferma Giulio Vada, Head of Business Development Italy di Group-IB. “La crescente domanda di strumenti di phishing ha creato un prospero mercato sotterraneo, che attira un numero crescente di fornitori. Questa concorrenza stimola l’innovazione continua tra gli sviluppatori di phishing, che cercano di migliorare l’efficienza dei propri strumenti malevoli aggiungendo nuove funzionalità o approcci alle loro operazioni criminali.”
Il nuovo rapporto di Group-IB è disponibile per il download qui. Il rapporto contiene un elenco di indicatori di compromissione (IOCs) e regole YARA che possono essere utilizzate per individuare le pagine di phishing create con W3LL Panel.
