Group-IB, ha publicado hoy un nuevo informe de amenazas titulado “W3LL DONE: ECOSISTEMA DE PHISHING OCULTO IMPULSANDO ATAQUES BEC”.
El informe detalla las operaciones de W3LL, un actor de amenazas detrás de un imperio de phishing que ha permanecido en gran medida desconocido hasta ahora.
Los equipos de Inteligencia de Amenazas e Investigaciones Cibernéticas de Group-IB han seguido la evolución de W3LL y han descubierto que desempeñaron un papel importante en la compromisión de cuentas de correo electrónico empresarial de Microsoft 365 durante los últimos 6 años.
El actor de amenazas creó un mercado subterráneo oculto, llamado W3LL Store, que servía a una comunidad cerrada de al menos 500 actores de amenazas que podían comprar un kit de phishing personalizado llamado W3LL Panel, diseñado para eludir la autenticación multifactor (MFA), así como otras 16 herramientas completamente personalizadas para ataques de compromiso de correo electrónico empresarial (BEC).
Los investigadores de Group-IB identificaron que las herramientas de phishing de W3LL se utilizaron para atacar más de 56,000 cuentas corporativas de Microsoft 365 en los Estados Unidos, Australia y Europa entre octubre de 2022 y julio de 2023. Según las estimaciones aproximadas de Group-IB, el volumen de negocios de W3LL Store en los últimos 10 meses podría haber alcanzado los $500,000. Toda la información recopilada por los ciberinvestigadores de Group-IB sobre W3LL se ha compartido con las organizaciones relevantes de aplicación de la ley.
No mencionaré a W3LL club.
La carrera de cibercriminal de W3LL se puede rastrear hasta 2017, cuando ingresaron al mercado con W3LL SMTP Sender, una herramienta personalizada para el envío masivo de correo no deseado. Más tarde, W3LL desarrolló y comenzó a vender su propia versión de un kit de phishing para dirigirse a cuentas corporativas de Microsoft 365.
La creciente popularidad de esta herramienta conveniente llevó al actor de amenazas a abrir un mercado subterráneo encubierto de habla inglesa. La tienda W3LL comenzó sus operaciones en 2018.
Con el tiempo, la plataforma evolucionó en un ecosistema de BEC completamente autónomo que ofrecía todo un espectro de servicios de phishing para cibercriminales de todos los niveles, desde herramientas de phishing personalizadas hasta elementos adicionales como listas de correo y acceso a servidores comprometidos.
La W3LL Store ofrece “soporte al cliente” a través de un sistema de tickets y un chat en vivo en la web.
Los cibercriminales que no tienen las habilidades necesarias para aprovechar las herramientas pueden ver tutoriales en video.
W3LL Store tiene su propio programa de bonificación por referencia (con una comisión del 10% en las referencias) y un programa de revendedores (con una división del 70/30 en las ganancias obtenidas por vendedores de terceros al vender en W3LL Store).
En la actualidad, W3LL Store tiene más de 500 usuarios activos. Para convertirse en cliente de W3LL Store, los recién llegados deben ser referidos por miembros existentes.
Los nuevos usuarios tienen 3 días para realizar un depósito en su saldo, de lo contrario, su cuenta será desactivada.
El desarrollador no promociona W3LL Store y pide a sus clientes que se abstengan de difundir información sobre ella en línea.
Group-IB identificó más de 3,800 artículos vendidos a través del mercado entre octubre de 2022 y julio de 2023. Actualmente, hay más de 12,000 artículos a la venta. Se estima que el volumen de negocios de W3LL Store en los últimos 10 meses fue de $500,000.
Revelando la infraestructura de W3LL:
La principal arma de W3LL, W3LL Panel, puede considerarse uno de los kits de phishing más avanzados en su clase, con funcionalidad de adversario en el medio, API, protección de código fuente y otras capacidades únicas.
W3LL Panel no tiene una variedad de páginas falsas y fue diseñado específicamente para comprometer cuentas de Microsoft 365.
Sin embargo, debido a su alta eficiencia, el kit de phishing ganó la confianza de un círculo reducido de criminales de BEC. W3LL ofrece una suscripción de kit de phishing de 3 meses por $500, con meses posteriores que cuestan $150 cada uno.
Cada copia de W3LL Panel debe habilitarse a través de un mecanismo de activación basado en tokens, lo que evita que el kit sea revendido o que su código fuente sea robado.
A partir de agosto de 2023, además del kit de phishing W3LL Panel, el mercado ofrece otras 16 herramientas completamente personalizadas que son totalmente compatibles entre sí y que en conjunto constituyen una configuración completa para ataques BEC.
Estas herramientas incluyen remitentes SMTP (PunnySender y W3LL Sender), un estager de enlaces maliciosos (W3LL Redirect), un escáner de vulnerabilidades (OKELO), un instrumento de descubrimiento de cuentas automatizado (CONTOOL), herramientas de reconocimiento y muchas más.
Las herramientas están disponibles bajo licencia y tienen un costo que oscila entre $50 y $350 por mes. Además, W3LL actualiza regularmente sus herramientas, agregando nuevas funcionalidades, mejorando los mecanismos antidetección y creando nuevos, lo que subraya la importancia de mantenerse actualizado con los cambios más recientes en sus TTPs (Técnicas, Tácticas y Procedimientos).
Phishing de W3LL: Geografía de las operaciones
Las campañas de phishing que involucran herramientas de W3LL son altamente persuasivas y generalmente involucran varias herramientas desarrolladas por W3LL que cubren casi toda la cadena de ataque de BEC, al mismo tiempo que proporcionan un alto nivel de automatización y escalabilidad.
Una vez que los actores de amenazas han logrado comprometer su objetivo, generalmente siguen un proceso que implica una fase de descubrimiento de cuentas.
Después de esta fase, pueden optar por llevar a cabo una de las siguientes acciones:
- Robo de datos: El robo de datos es una actividad en la que los cibercriminales buscan acceder y adquirir información confidencial o valiosa que se encuentra almacenada en cuentas comprometidas.Esta información puede abarcar una variedad de datos, como:
- Datos financieros: Esto incluye información relacionada con cuentas bancarias, tarjetas de crédito, números de seguridad social y otros datos financieros personales que pueden ser utilizados para realizar transacciones fraudulentas o cometer fraudes financieros.
- Información personal: Los cibercriminales pueden buscar datos personales como nombres, direcciones, números de teléfono, fechas de nacimiento y otros detalles que pueden ser utilizados para cometer fraudes de identidad o acosar a las víctimas.
- Secretos comerciales: En el caso de empresas u organizaciones, los cibercriminales pueden buscar información confidencial relacionada con estrategias comerciales, propiedad intelectual, planes de negocios y otros secretos comerciales que puedan ser utilizados para obtener ventajas competitivas o extorsionar a la empresa.
- Otros datos sensibles: Esto podría incluir cualquier información que sea valiosa o confidencial para la víctima, como contraseñas, datos médicos, información legal o cualquier otro tipo de datos que pueda ser explotado con fines maliciosos o de lucro.
El robo de datos es una actividad seria y perjudicial que puede tener graves consecuencias tanto para individuos como para empresas. Los cibercriminales a menudo utilizan esta información robada para cometer fraudes, extorsiones o incluso venderla en el mercado negro en línea. Por lo tanto, es fundamental tomar medidas de seguridad cibernética para proteger la información confidencial y prevenir el acceso no autorizado a las cuentas y sistemas.
- Estafa de facturas falsas: La estafa de facturas falsas es una estrategia en la cual los actores de amenazas emplean cuentas comprometidas para enviar facturas falsas a terceros, como clientes o socios comerciales. Estas facturas falsas están diseñadas para parecer legítimas y a menudo incluyen detalles aparentemente auténticos, como logotipos de empresas y detalles de contacto.La finalidad principal de esta táctica es estafar dinero o bienes de manera fraudulenta. Los actores de amenazas pueden utilizar diversas artimañas en estas facturas falsas, como solicitar pagos por servicios no prestados, productos que no se entregaron o trabajos que nunca se realizaron. Los receptores de estas facturas pueden ser engañados para realizar pagos, transferir fondos o proporcionar información financiera sensible, creyendo que están cumpliendo con una transacción legítima.
Esta forma de estafa puede tener graves consecuencias tanto para las organizaciones como para las personas. Puede resultar en pérdidas financieras significativas y daño a la reputación de las empresas involucradas. Para prevenir este tipo de estafas, es importante que las organizaciones cuenten con sólidas prácticas de verificación de facturas y estén alerta ante posibles señales de facturas falsas o actividades sospechosas en sus cuentas y sistemas. También es esencial educar a los empleados sobre la detección de estafas de facturas y promover la ciberseguridad en la organización.
Suplantación del propietario de la cuenta:
La suplantación del propietario de la cuenta es una táctica en la cual los cibercriminales toman el control de una cuenta comprometida y actúan en nombre del propietario legítimo de la cuenta. Esto les permite enviar correos electrónicos fraudulentos o llevar a cabo actividades en línea en nombre de la víctima, con el propósito de engañar o causar daño.
En este escenario, los cibercriminales pueden:
- Enviar correos electrónicos fraudulentos: Los actores de amenazas pueden utilizar la cuenta comprometida para enviar correos electrónicos que parecen provenir del propietario legítimo de la cuenta. Estos correos electrónicos pueden contener solicitudes de dinero, información confidencial o acciones perjudiciales.
- Realizar actividades fraudulentas: Pueden llevar a cabo acciones en línea, como hacer publicaciones en redes sociales, participar en conversaciones en línea o realizar transacciones en nombre de la víctima. Estas actividades pueden tener como objetivo difamar a la víctima o llevar a cabo actividades ilegales en su nombre.
- Engañar a otros: Al asumir la identidad de la víctima, los cibercriminales pueden engañar a amigos, colegas o contactos de negocios de la víctima para obtener información confidencial o realizar acciones perjudiciales.
La suplantación del propietario de la cuenta puede tener graves implicaciones, ya que puede resultar en la pérdida de la reputación de la víctima, daños a relaciones personales o comerciales, y la divulgación de información confidencial.
Para prevenir este tipo de ataques, es importante utilizar medidas de seguridad cibernética, como autenticación de dos factores (2FA), para proteger las cuentas en línea y estar alerta ante cualquier actividad sospechosa.
Además, educar a los usuarios sobre los riesgos de la suplantación de identidad y cómo detectarla es esencial para una defensa efectiva contra este tipo de amenaza.
Distribución de malware:
La distribución de malware es una táctica en la cual los actores de amenazas utilizan una cuenta de correo electrónico comprometida como un medio para propagar software malicioso (malware) a otras personas o entidades. El malware es un tipo de software diseñado para realizar acciones maliciosas en los sistemas de las víctimas, y puede tener una variedad de propósitos, incluyendo:
- Robo de información: Algunos tipos de malware están diseñados para robar datos confidenciales, como contraseñas, información financiera o archivos personales, de los sistemas de las víctimas.
- Toma de control de sistemas: Otro tipo de malware puede tomar el control de los sistemas de las víctimas, permitiendo a los actores de amenazas acceder, controlar y manipular estos sistemas de manera remota.
- Ransomware: Algunos malware cifran los archivos de las víctimas y exigen un rescate para desbloquearlos, lo que puede resultar en pérdida de datos y extorsión.
- Difusión de malware adicional: Los actores de amenazas pueden utilizar una cuenta comprometida para enviar malware a otras personas o entidades, propagando la infección.
En el contexto de la distribución de malware a través de una cuenta de correo electrónico comprometida, los cibercriminales pueden enviar archivos adjuntos maliciosos o enlaces a sitios web infectados a los contactos de la víctima.
Cuando los destinatarios abren los archivos adjuntos o hacen clic en los enlaces, pueden infectar sus propios sistemas con malware, lo que amplía el alcance de la amenaza.
La distribución de malware es una amenaza seria y puede tener consecuencias devastadoras para las víctimas, incluyendo la pérdida de datos, daño a la privacidad y pérdidas financieras.
Por lo tanto, es fundamental tener precaución al interactuar con correos electrónicos y archivos adjuntos de fuentes desconocidas y mantener el software de seguridad actualizado para detectar y prevenir infecciones por malware.
Estos son algunos de los escenarios comunes que los cibercriminales pueden llevar a cabo después de comprometer una cuenta de correo electrónico. Cada uno de estos escenarios puede tener graves implicaciones para las víctimas, incluyendo pérdidas financieras, robo de datos y daño a la reputación.
Las consecuencias para una empresa que ha sufrido un ataque de BEC pueden ir más allá de las pérdidas financieras directas (que pueden oscilar entre miles y millones de dólares) y podrían extenderse a filtraciones de datos, daño a la reputación, reclamaciones de compensación e incluso demandas judiciales.
Los investigadores de Group-IB identificaron cerca de 850 sitios web de phishing únicos atribuidos a W3LL Panel en los últimos 10 meses.
Durante una investigación llevada a cabo por los expertos de Group-IB, se examinaron grupos y conversaciones en la plataforma de mensajería Telegram que estaban bajo el control de un actor de amenazas conocido como W3LL, además de analizar la infraestructura relacionada con las campañas de phishing que W3LL había llevado a cabo.
Como resultado de este análisis, los investigadores de Group-IB pudieron determinar que, durante el mismo período de tiempo, los cibercriminales que utilizaban las herramientas desarrolladas por W3LL se enfocaron en al menos 56,000 cuentas corporativas de Microsoft 365 como objetivos.
De estas cuentas, más de 8,000, lo que representa aproximadamente el 14.3% del total, finalmente fueron comprometidas como resultado de las actividades de estos actores de amenazas.
El número real de víctimas y el impacto final podrían ser significativamente mayores.
Las herramientas creadas por W3LL están diseñadas para atacar empresas sin importar su ubicación geográfica, lo que significa que pueden dirigirse a organizaciones en cualquier parte del mundo.
Sin embargo, en la mayoría de los casos identificados, los objetivos de estos ataques se encuentran en los Estados Unidos, Australia, el Reino Unido y varios países europeos, incluyendo Alemania, Francia, Italia, Suiza y los Países Bajos.
Estos países parecen ser los principales blancos de los ataques llevados a cabo con las herramientas de W3LL, aunque la capacidad de las herramientas para apuntar a empresas en cualquier lugar del mundo plantea una preocupación global en términos de ciberseguridad.
Las industrias más frecuentemente objetivo, según lo identificado por Group-IB, son la manufactura, TI, servicios financieros, consultoría, atención médica y servicios legales.
“Lo que realmente distingue a W3LL Store y sus productos de otros mercados clandestinos es el hecho de que W3LL no solo creó un mercado, sino un complejo ecosistema de phishing con un conjunto de herramientas personalizadas completamente compatibles que cubren casi toda la cadena de ataque de BEC y pueden ser utilizadas por cibercriminales de todos los niveles de habilidad técnica”, dice Anton Ushakov, Subjefe del Departamento de Investigación de Crímenes de Alta Tecnología de Group-IB en Europa.
“La creciente demanda de herramientas de phishing ha creado un próspero mercado clandestino, atrayendo a un número creciente de vendedores.
Esta competencia impulsa la innovación continua entre los desarrolladores de phishing, que buscan mejorar la eficiencia de sus herramientas maliciosas a través de nuevas características y enfoques para sus operaciones criminales”.
El nuevo informe de Group-IB está disponible para su descarga aquí. El informe contiene una lista de Indicadores de Compromiso (IOCs) y reglas YARA que se pueden utilizar para buscar y detectar páginas de phishing de W3LL Panel.
Por Marcelo Lozano – General Publisher IT CONNECT LATAM
Lea más sobre Cibersguridad en;
DB#Jammer: la amenaza emergente del 2023 de Ataques a Servidores MS-SQL
Seguridad al 100%: ¿Una Misión Imposible en el Mundo Cibernético?
Phishing: se multiplicó por 6 en América Latina
Classiscam 2023: una operación de estafa en constante evolución
NIST publica estándares de criptografía cuántica segura 2023
NO TE PIERDAS EL ÚLTIMO IT CONNECT SECURE STREAM
W3LL DONE, W3LL DONE, W3LL DONE, W3LL DONE, W3LL DONE, W3LL DONE, W3LL DONE, W3LL DONE, W3LL DONE, W3LL DONE, W3LL DONE, W3LL DONE, W3LL DONE, W3LL DONE, W3LL DONE, W3LL DONE, W3LL DONE, W3LL DONE, W3LL
DONE, W3LL DONE, W3LL DONE, W3LL DONE, W3LL DONE, W3LL DONE, W3LL DONE, W3LL DONE, W3LL DONE, W3LL DONE, W3LL DONE, W3LL DONE, W3LL DONE, W3LL DONE, W3LL DONE, W3LL DONE, W3LL DONE, W3LL DONE, W3LL DONE, W3LL DONE, W3LL DONE,