Le bureau de l’FBI de l’Atlanta et les autorités indonésiennes ont récemment démantelé la plateforme de phishing mondiale connue sous le nom de « W3LL ». Cette opération a abouti à la saisie de matériels et à l’arrestation de l’auteur présumé, marquant la première action concertée entre les États-Unis et l’Indonésie ciblant un développeur de kits de phishing.
Le W3LL Store était un kit de phishing et un marché en ligne qui permettait aux cybercriminels de dérober des milliers de données d’identification et a réalisé des tentatives de fraude dépassant les 20 millions de dollars.
Un message de saisie affiché sur le site w3ll.store indique : « Ce site a été saisi dans le cadre d’une action de maintien de l’ordre coordonnée contre W3LL STORE. »
« Le domaine w3ll.store a été saisi par le FBI conformément à un mandat de saisie émis par le tribunal de district des États-Unis pour le district nord de la Géorgie, » précise le message.
Source: BleepingComputer
Le kit de phishing W3LL, vendu pour 500 dollars, permettait aux attaquants de créer des répliques convaincantes de portails de connexion d’entreprise pour voler des identifiants. Ce kit offrait la possibilité de capturer des jetons de session d’authentification, facilitant ainsi le contournement de l’authentification multifactorielle (MFA) et l’accès aux comptes compromis.
Source: Group-IB
L’acteur malveillant a également proposé un marché appelé W3LLSTORE, où des identifiants volés et des accès non autorisés aux réseaux étaient échangés. « Ce n’était pas qu’un simple phishing, c’était une véritable plateforme de cybercriminalité, » a déclaré Marlo Graham, agent spécial du FBI.
Les autorités estiment que ce marché a facilité la vente de plus de 25 000 comptes compromis entre 2019 et 2023. Même après la fermeture du W3LLSTORE, l’opération a continué via des plateformes de messagerie cryptées, où le kit était rebaptisé et revendu à d’autres cybercriminels.
Entre 2023 et 2024, ce kit a été utilisé pour cibler plus de 17 000 victimes à l’échelle mondiale. Des enquêteurs ont découvert que le développeur collectait et revendait l’accès à des comptes compromis.
La plateforme de phishing W3LL avait été reliée à des campagnes visant des comptes d’entreprise sur Microsoft 365 et était conçue pour supporter les attaques de compromise de courriels professionnels (BEC) depuis l’accès initial jusqu’à l’exploitation postérieure.
Le kit exploitait des attaques de type adversaire au milieu, où des portails de connexion légitimes étaient proxyés à travers l’infrastructure de l’attaquant. Cela permettait aux acteurs malveillants de surveiller et d’intercepter des identifiants, des codes d’accès MFA à usage unique et des cookies de session en temps réel, pouvant ensuite être utilisés pour se connecter à des comptes compromis sans déclencher de défis d’authentification MFA.
Une fois l’accès obtenu, les attaquants surveillaient les boîtes de réception, créaient des règles de messagerie et se faisaient passer pour des victimes afin de commettre des fraudes par factures et de rediriger des paiements dans le cadre des attaques BEC.