{"id":3878,"date":"2023-09-06T17:00:40","date_gmt":"2023-09-06T20:00:40","guid":{"rendered":"https:\/\/itconnect.lat\/portal\/?p=3878"},"modified":"2023-09-13T17:13:22","modified_gmt":"2023-09-13T20:13:22","slug":"w3ll-done-001","status":"publish","type":"post","link":"https:\/\/itconnect.lat\/portal\/w3ll-done-001\/","title":{"rendered":"W3LL DONE: M\u00e1quina aceitada Group-IB descubre phishing BEC dirigido a Microsoft 365."},"content":{"rendered":"

Group-IB, ha publicado hoy un nuevo informe de amenazas titulado\u00a0\u201cW3LL DONE: ECOSISTEMA DE PHISHING OCULTO IMPULSANDO ATAQUES BEC<\/strong>\u201d.<\/h2>\n

El informe detalla las operaciones de W3LL, un actor de amenazas detr\u00e1s de un imperio de phishing que ha permanecido en gran medida desconocido hasta ahora.<\/p>\n

\"W3LL<\/a>
W3LL DONE<\/figcaption><\/figure>\n

Los equipos de Inteligencia de Amenazas e Investigaciones Cibern\u00e9ticas de Group-IB han seguido la evoluci\u00f3n de W3LL y han descubierto que desempe\u00f1aron un papel importante en la compromisi\u00f3n de cuentas de correo electr\u00f3nico empresarial de Microsoft 365 durante los \u00faltimos 6 a\u00f1os.<\/p>\n

El actor de amenazas cre\u00f3 un mercado subterr\u00e1neo oculto, llamado W3LL Store<\/strong>, que serv\u00eda a una comunidad cerrada de al menos 500 actores de amenazas que pod\u00edan comprar un kit de phishing personalizado llamado W3LL Panel<\/strong>, dise\u00f1ado para eludir la autenticaci\u00f3n multifactor (MFA), as\u00ed como otras 16 herramientas completamente personalizadas para ataques de compromiso de correo electr\u00f3nico empresarial (BEC).<\/p>\n

Los investigadores de Group-IB<\/strong> identificaron que las herramientas de phishing de W3LL<\/strong> se utilizaron para atacar m\u00e1s de 56,000 cuentas corporativas de Microsoft 365 en los Estados Unidos, Australia y Europa entre octubre de 2022 y julio de 2023. Seg\u00fan las estimaciones aproximadas de Group-IB<\/strong>, el volumen de negocios de W3LL Store<\/strong> en los \u00faltimos 10 meses podr\u00eda haber alcanzado los $500,000. Toda la informaci\u00f3n recopilada por los ciberinvestigadores de Group-IB<\/strong> sobre W3LL<\/strong> se ha compartido con las organizaciones relevantes de aplicaci\u00f3n de la ley.<\/p>\n

No mencionar\u00e9 a W3LL club.<\/h3>\n

La carrera de cibercriminal de W3LL<\/strong> se puede rastrear hasta 2017<\/strong>, cuando ingresaron al mercado con W3LL SMTP Sender<\/strong>, una herramienta personalizada para el env\u00edo masivo de correo no deseado. M\u00e1s tarde, W3LL<\/strong> desarroll\u00f3 y comenz\u00f3 a vender su propia versi\u00f3n de un kit de phishing<\/strong> para dirigirse a cuentas corporativas de Microsoft 365<\/strong>.<\/p>\n

La creciente popularidad de esta herramienta conveniente llev\u00f3 al actor de amenazas a abrir un mercado subterr\u00e1neo encubierto de habla inglesa. La tienda W3LL<\/strong> comenz\u00f3 sus operaciones en 2018<\/strong>.<\/p>\n

Con el tiempo, la plataforma evolucion\u00f3 en un ecosistema de BEC<\/strong> completamente aut\u00f3nomo que ofrec\u00eda todo un espectro de servicios de phishing para cibercriminales de todos los niveles, desde herramientas de phishing personalizadas hasta elementos adicionales como listas de correo y acceso a servidores comprometidos.<\/p>\n

La W3LL Store<\/strong> ofrece “soporte al cliente” a trav\u00e9s de un sistema de tickets y un chat en vivo en la web.<\/p>\n

Los cibercriminales que no tienen las habilidades necesarias para aprovechar las herramientas pueden ver tutoriales en video.<\/p>\n

W3LL Store<\/strong> tiene su propio programa de bonificaci\u00f3n por referencia (con una comisi\u00f3n del 10% en las referencias) y un programa de revendedores (con una divisi\u00f3n del 70\/30 en las ganancias obtenidas por vendedores de terceros al vender en W3LL Store<\/strong>).<\/p>\n

En la actualidad, W3LL Store<\/strong> tiene m\u00e1s de 500 usuarios activos. Para convertirse en cliente de W3LL Store<\/strong>, los reci\u00e9n llegados deben ser referidos por miembros existentes.<\/p>\n

Los nuevos usuarios tienen 3 d\u00edas para realizar un dep\u00f3sito en su saldo, de lo contrario, su cuenta ser\u00e1 desactivada.<\/p>\n

El desarrollador no promociona W3LL Store<\/strong> y pide a sus clientes que se abstengan de difundir informaci\u00f3n sobre ella en l\u00ednea.<\/p>\n

Group-IB<\/strong> identific\u00f3 m\u00e1s de 3,800 art\u00edculos vendidos a trav\u00e9s del mercado entre octubre de 2022 y julio de 2023. Actualmente, hay m\u00e1s de 12,000 art\u00edculos a la venta. Se estima que el volumen de negocios de W3LL Store<\/strong> en los \u00faltimos 10 meses fue de $500,000.<\/p>\n

Revelando la infraestructura de W3LL<\/strong>:<\/h4>\n
\"W3LL<\/a>
W3LL DONE<\/figcaption><\/figure>\n

La principal arma de W3LL<\/strong>, W3LL Panel<\/strong>, puede considerarse uno de los kits de phishing m\u00e1s avanzados en su clase, con funcionalidad de adversario en el medio, API, protecci\u00f3n de c\u00f3digo fuente y otras capacidades \u00fanicas.<\/p>\n

W3LL Panel<\/strong> no tiene una variedad de p\u00e1ginas falsas y fue dise\u00f1ado espec\u00edficamente para comprometer cuentas de Microsoft 365.<\/p>\n

Sin embargo, debido a su alta eficiencia, el kit de phishing gan\u00f3 la confianza de un c\u00edrculo reducido de criminales de BEC. W3LL<\/strong> ofrece una suscripci\u00f3n de kit de phishing de 3 meses por $500, con meses posteriores que cuestan $150 cada uno.<\/p>\n

Cada copia de W3LL Panel<\/strong> debe habilitarse a trav\u00e9s de un mecanismo de activaci\u00f3n basado en tokens, lo que evita que el kit sea revendido o que su c\u00f3digo fuente sea robado.<\/p>\n

A partir de agosto de 2023, adem\u00e1s del kit de phishing W3LL Panel<\/strong>, el mercado ofrece otras 16 herramientas completamente personalizadas que son totalmente compatibles entre s\u00ed y que en conjunto constituyen una configuraci\u00f3n completa para ataques BEC.<\/p>\n

Estas herramientas incluyen remitentes SMTP (PunnySender y W3LL Sender), un estager de enlaces maliciosos (W3LL Redirect), un esc\u00e1ner de vulnerabilidades (OKELO), un instrumento de descubrimiento de cuentas automatizado (CONTOOL), herramientas de reconocimiento y muchas m\u00e1s.<\/p>\n

Las herramientas est\u00e1n disponibles bajo licencia y tienen un costo que oscila entre $50 y $350 por mes. Adem\u00e1s, W3LL<\/strong> actualiza regularmente sus herramientas, agregando nuevas funcionalidades, mejorando los mecanismos antidetecci\u00f3n y creando nuevos, lo que subraya la importancia de mantenerse actualizado con los cambios m\u00e1s recientes en sus TTPs (T\u00e9cnicas, T\u00e1cticas y Procedimientos).<\/p>\n

Phishing de W3LL: Geograf\u00eda de las operaciones<\/h4>\n

Las campa\u00f1as de phishing que involucran herramientas de W3LL<\/strong> son altamente persuasivas y generalmente involucran varias herramientas desarrolladas por W3LL<\/strong> que cubren casi toda la cadena de ataque de BEC, al mismo tiempo que proporcionan un alto nivel de automatizaci\u00f3n y escalabilidad.<\/p>\n

Una vez que los actores de amenazas han logrado comprometer su objetivo, generalmente siguen un proceso que implica una fase de descubrimiento de cuentas.<\/p>\n

Despu\u00e9s de esta fase, pueden optar por llevar a cabo una de las siguientes acciones:<\/p>\n

    \n
  1. Robo de datos: <\/strong>El robo de datos es una actividad en la que los cibercriminales buscan acceder y adquirir informaci\u00f3n confidencial o valiosa que se encuentra almacenada en cuentas comprometidas.Esta informaci\u00f3n puede abarcar una variedad de datos, como:\n
      \n
    1. Datos financieros:<\/strong> Esto incluye informaci\u00f3n relacionada con cuentas bancarias, tarjetas de cr\u00e9dito, n\u00fameros de seguridad social y otros datos financieros personales que pueden ser utilizados para realizar transacciones fraudulentas o cometer fraudes financieros.<\/li>\n
    2. Informaci\u00f3n personal:<\/strong> Los cibercriminales pueden buscar datos personales como nombres, direcciones, n\u00fameros de tel\u00e9fono, fechas de nacimiento y otros detalles que pueden ser utilizados para cometer fraudes de identidad o acosar a las v\u00edctimas.<\/li>\n
    3. Secretos comerciales:<\/strong> En el caso de empresas u organizaciones, los cibercriminales pueden buscar informaci\u00f3n confidencial relacionada con estrategias comerciales, propiedad intelectual, planes de negocios y otros secretos comerciales que puedan ser utilizados para obtener ventajas competitivas o extorsionar a la empresa.<\/li>\n
    4. Otros datos sensibles:<\/strong> Esto podr\u00eda incluir cualquier informaci\u00f3n que sea valiosa o confidencial para la v\u00edctima, como contrase\u00f1as, datos m\u00e9dicos, informaci\u00f3n legal o cualquier otro tipo de datos que pueda ser explotado con fines maliciosos o de lucro.<\/li>\n<\/ol>\n

      El robo de datos es una actividad seria y perjudicial que puede tener graves consecuencias tanto para individuos como para empresas. Los cibercriminales a menudo utilizan esta informaci\u00f3n robada para cometer fraudes, extorsiones o incluso venderla en el mercado negro en l\u00ednea. Por lo tanto, es fundamental tomar medidas de seguridad cibern\u00e9tica para proteger la informaci\u00f3n confidencial y prevenir el acceso no autorizado a las cuentas y sistemas.<\/li>\n

    5. Estafa de facturas falsas: <\/strong>La estafa de facturas falsas es una estrategia en la cual los actores de amenazas emplean cuentas comprometidas para enviar facturas falsas a terceros, como clientes o socios comerciales. Estas facturas falsas est\u00e1n dise\u00f1adas para parecer leg\u00edtimas y a menudo incluyen detalles aparentemente aut\u00e9nticos, como logotipos de empresas y detalles de contacto.La finalidad principal de esta t\u00e1ctica es estafar dinero o bienes de manera fraudulenta. Los actores de amenazas pueden utilizar diversas artima\u00f1as en estas facturas falsas, como solicitar pagos por servicios no prestados, productos que no se entregaron o trabajos que nunca se realizaron. Los receptores de estas facturas pueden ser enga\u00f1ados para realizar pagos, transferir fondos o proporcionar informaci\u00f3n financiera sensible, creyendo que est\u00e1n cumpliendo con una transacci\u00f3n leg\u00edtima.\n

      Esta forma de estafa puede tener graves consecuencias tanto para las organizaciones como para las personas. Puede resultar en p\u00e9rdidas financieras significativas y da\u00f1o a la reputaci\u00f3n de las empresas involucradas. Para prevenir este tipo de estafas, es importante que las organizaciones cuenten con s\u00f3lidas pr\u00e1cticas de verificaci\u00f3n de facturas y est\u00e9n alerta ante posibles se\u00f1ales de facturas falsas o actividades sospechosas en sus cuentas y sistemas. Tambi\u00e9n es esencial educar a los empleados sobre la detecci\u00f3n de estafas de facturas y promover la ciberseguridad en la organizaci\u00f3n.<\/li>\n<\/ol>\n

      Suplantaci\u00f3n del propietario de la cuenta:<\/strong><\/h4>\n

      La suplantaci\u00f3n del propietario de la cuenta es una t\u00e1ctica en la cual los cibercriminales toman el control de una cuenta comprometida y act\u00faan en nombre del propietario leg\u00edtimo de la cuenta. Esto les permite enviar correos electr\u00f3nicos fraudulentos o llevar a cabo actividades en l\u00ednea en nombre de la v\u00edctima, con el prop\u00f3sito de enga\u00f1ar o causar da\u00f1o.<\/p>\n

      En este escenario, los cibercriminales pueden:<\/p>\n

        \n
      1. Enviar correos electr\u00f3nicos fraudulentos:<\/strong> Los actores de amenazas pueden utilizar la cuenta comprometida para enviar correos electr\u00f3nicos que parecen provenir del propietario leg\u00edtimo de la cuenta. Estos correos electr\u00f3nicos pueden contener solicitudes de dinero, informaci\u00f3n confidencial o acciones perjudiciales.<\/li>\n
      2. Realizar actividades fraudulentas:<\/strong> Pueden llevar a cabo acciones en l\u00ednea, como hacer publicaciones en redes sociales, participar en conversaciones en l\u00ednea o realizar transacciones en nombre de la v\u00edctima. Estas actividades pueden tener como objetivo difamar a la v\u00edctima o llevar a cabo actividades ilegales en su nombre.<\/li>\n
      3. Enga\u00f1ar a otros:<\/strong> Al asumir la identidad de la v\u00edctima, los cibercriminales pueden enga\u00f1ar a amigos, colegas o contactos de negocios de la v\u00edctima para obtener informaci\u00f3n confidencial o realizar acciones perjudiciales.<\/li>\n<\/ol>\n

        La suplantaci\u00f3n del propietario de la cuenta puede tener graves implicaciones, ya que puede resultar en la p\u00e9rdida de la reputaci\u00f3n de la v\u00edctima, da\u00f1os a relaciones personales o comerciales, y la divulgaci\u00f3n de informaci\u00f3n confidencial.<\/p>\n

        Para prevenir este tipo de ataques, es importante utilizar medidas de seguridad cibern\u00e9tica, como autenticaci\u00f3n de dos factores (2FA), para proteger las cuentas en l\u00ednea y estar alerta ante cualquier actividad sospechosa.<\/p>\n

        Adem\u00e1s, educar a los usuarios sobre los riesgos de la suplantaci\u00f3n de identidad y c\u00f3mo detectarla es esencial para una defensa efectiva contra este tipo de amenaza.<\/p>\n

        Distribuci\u00f3n de malware:<\/strong><\/p>\n

        La distribuci\u00f3n de malware es una t\u00e1ctica en la cual los actores de amenazas utilizan una cuenta de correo electr\u00f3nico comprometida como un medio para propagar software malicioso (malware) a otras personas o entidades. El malware es un tipo de software dise\u00f1ado para realizar acciones maliciosas en los sistemas de las v\u00edctimas, y puede tener una variedad de prop\u00f3sitos, incluyendo:<\/p>\n

          \n
        1. Robo de informaci\u00f3n:<\/strong> Algunos tipos de malware est\u00e1n dise\u00f1ados para robar datos confidenciales, como contrase\u00f1as, informaci\u00f3n financiera o archivos personales, de los sistemas de las v\u00edctimas.<\/li>\n
        2. Toma de control de sistemas:<\/strong> Otro tipo de malware puede tomar el control de los sistemas de las v\u00edctimas, permitiendo a los actores de amenazas acceder, controlar y manipular estos sistemas de manera remota.<\/li>\n
        3. Ransomware:<\/strong> Algunos malware cifran los archivos de las v\u00edctimas y exigen un rescate para desbloquearlos, lo que puede resultar en p\u00e9rdida de datos y extorsi\u00f3n.<\/li>\n
        4. Difusi\u00f3n de malware adicional:<\/strong> Los actores de amenazas pueden utilizar una cuenta comprometida para enviar malware a otras personas o entidades, propagando la infecci\u00f3n.<\/li>\n<\/ol>\n

          En el contexto de la distribuci\u00f3n de malware a trav\u00e9s de una cuenta de correo electr\u00f3nico comprometida, los cibercriminales pueden enviar archivos adjuntos maliciosos o enlaces a sitios web infectados a los contactos de la v\u00edctima.<\/p>\n

          Cuando los destinatarios abren los archivos adjuntos o hacen clic en los enlaces, pueden infectar sus propios sistemas con malware, lo que ampl\u00eda el alcance de la amenaza.<\/p>\n

          La distribuci\u00f3n de malware es una amenaza seria y puede tener consecuencias devastadoras para las v\u00edctimas, incluyendo la p\u00e9rdida de datos, da\u00f1o a la privacidad y p\u00e9rdidas financieras.<\/p>\n

          Por lo tanto, es fundamental tener precauci\u00f3n al interactuar con correos electr\u00f3nicos y archivos adjuntos de fuentes desconocidas y mantener el software de seguridad actualizado para detectar y prevenir infecciones por malware.<\/p>\n

          Estos son algunos de los escenarios comunes que los cibercriminales pueden llevar a cabo despu\u00e9s de comprometer una cuenta de correo electr\u00f3nico. Cada uno de estos escenarios puede tener graves implicaciones para las v\u00edctimas, incluyendo p\u00e9rdidas financieras, robo de datos y da\u00f1o a la reputaci\u00f3n.<\/p>\n

          \"W3LL<\/a>
          W3LL DONE<\/figcaption><\/figure>\n

          Las consecuencias para una empresa que ha sufrido un ataque de BEC pueden ir m\u00e1s all\u00e1 de las p\u00e9rdidas financieras directas (que pueden oscilar entre miles y millones de d\u00f3lares) y podr\u00edan extenderse a filtraciones de datos, da\u00f1o a la reputaci\u00f3n, reclamaciones de compensaci\u00f3n e incluso demandas judiciales.<\/p>\n

          Los investigadores de Group-IB<\/strong> identificaron cerca de 850 sitios web de phishing \u00fanicos atribuidos a W3LL Panel<\/strong> en los \u00faltimos 10 meses.<\/p>\n

          Durante una investigaci\u00f3n llevada a cabo por los expertos de Group-IB<\/strong>, se examinaron grupos y conversaciones en la plataforma de mensajer\u00eda Telegram que estaban bajo el control de un actor de amenazas conocido como W3LL<\/strong>, adem\u00e1s de analizar la infraestructura relacionada con las campa\u00f1as de phishing que W3LL<\/strong> hab\u00eda llevado a cabo.<\/p>\n

          Como resultado de este an\u00e1lisis, los investigadores de Group-IB<\/strong> pudieron determinar que, durante el mismo per\u00edodo de tiempo, los cibercriminales que utilizaban las herramientas desarrolladas por W3LL<\/strong> se enfocaron en al menos 56,000 cuentas corporativas de Microsoft 365 como objetivos.<\/p>\n

          De estas cuentas, m\u00e1s de 8,000, lo que representa aproximadamente el 14.3% del total, finalmente fueron comprometidas como resultado de las actividades de estos actores de amenazas.<\/p>\n

          El n\u00famero real de v\u00edctimas y el impacto final podr\u00edan ser significativamente mayores.<\/p>\n

          Las herramientas creadas por W3LL<\/strong> est\u00e1n dise\u00f1adas para atacar empresas sin importar su ubicaci\u00f3n geogr\u00e1fica, lo que significa que pueden dirigirse a organizaciones en cualquier parte del mundo.<\/p>\n

          Sin embargo, en la mayor\u00eda de los casos identificados, los objetivos de estos ataques se encuentran en los Estados Unidos, Australia, el Reino Unido y varios pa\u00edses europeos, incluyendo Alemania, Francia, Italia, Suiza y los Pa\u00edses Bajos.<\/p>\n

          Estos pa\u00edses parecen ser los principales blancos de los ataques llevados a cabo con las herramientas de W3LL<\/strong>, aunque la capacidad de las herramientas para apuntar a empresas en cualquier lugar del mundo plantea una preocupaci\u00f3n global en t\u00e9rminos de ciberseguridad.<\/p>\n

          Las industrias m\u00e1s frecuentemente objetivo, seg\u00fan lo identificado por Group-IB<\/strong>, son la manufactura, TI, servicios financieros, consultor\u00eda, atenci\u00f3n m\u00e9dica y servicios legales.<\/p>\n

          “Lo que realmente distingue a W3LL Store<\/strong> y sus productos de otros mercados clandestinos es el hecho de que W3LL<\/strong> no solo cre\u00f3 un mercado, sino un complejo ecosistema de phishing con un conjunto de herramientas personalizadas completamente compatibles que cubren casi toda la cadena de ataque de BEC y pueden ser utilizadas por cibercriminales de todos los niveles de habilidad t\u00e9cnica”, dice Anton Ushakov, Subjefe del Departamento de Investigaci\u00f3n de Cr\u00edmenes de Alta Tecnolog\u00eda de<\/strong> Group-IB<\/strong> en Europa.<\/p>\n

          “La creciente demanda de herramientas de phishing ha creado un pr\u00f3spero mercado clandestino, atrayendo a un n\u00famero creciente de vendedores.<\/p>\n

          Esta competencia impulsa la innovaci\u00f3n continua entre los desarrolladores de phishing, que buscan mejorar la eficiencia de sus herramientas maliciosas a trav\u00e9s de nuevas caracter\u00edsticas y enfoques para sus operaciones criminales”.<\/p>\n

          El nuevo informe de Group-IB<\/strong> est\u00e1 disponible para su descarga aqu\u00ed. El informe contiene una lista de Indicadores de Compromiso (IOCs) y reglas YARA que se pueden utilizar para buscar y detectar p\u00e1ginas de phishing de W3LL Panel<\/strong>.<\/p>\n

          <\/h5>\n
          Por Marcelo Lozano \u2013 General Publisher IT CONNECT LATAM<\/h5>\n
          <\/h6>\n
          <\/span>Lea m\u00e1s sobre Cibersguridad en;<\/h6>\n
          <\/span>DB#Jammer: la amenaza emergente del 2023 de Ataques a Servidores MS-SQL\u00a0<\/a><\/h6>\n
          <\/span>Seguridad al 100%: \u00bfUna Misi\u00f3n Imposible en el Mundo Cibern\u00e9tico?<\/a><\/h6>\n
          <\/span>Phishing: se multiplic\u00f3 por 6 en Am\u00e9rica Latina<\/a><\/h6>\n
          <\/span>Classiscam 2023: una operaci\u00f3n de estafa en constante evoluci\u00f3n<\/a><\/h6>\n
          <\/span>NIST publica est\u00e1ndares de criptograf\u00eda cu\u00e1ntica segura 2023<\/a><\/h6>\n

           <\/p>\n

          NO TE PIERDAS EL \u00daLTIMO IT CONNECT SECURE STREAM<\/strong><\/p>\n