Un « empire du phishing » jusqu’alors non documenté a été associé à des cyberattaques visant à compromettre les comptes de messagerie professionnels Microsoft 365 au cours des six dernières années.
« L’acteur malveillant a créé un marché souterrain caché, nommé W3LL Store, qui servait une communauté fermée d’au moins 500 acteurs malveillants qui pouvaient acheter un kit de phishing personnalisé appelé W3LL Panel, conçu pour contourner la MFA, ainsi que 16 autres outils entièrement personnalisés pour attaques de compromission de courrier électronique professionnel (BEC), « , a déclaré Group-IB dans un rapport partagé avec The Hacker News.
On estime que l’infrastructure de phishing a ciblé plus de 56 000 comptes Microsoft 365 d’entreprise et en a compromis au moins 8 000, principalement aux États-Unis, au Royaume-Uni, en Australie, en Allemagne, au Canada, en France, aux Pays-Bas, en Suisse et en Italie entre octobre 2022 et juillet 2023, rapportant à ses opérateurs 500 000 $ de bénéfices illicites.
Certains des principaux secteurs infiltrés à l’aide de la solution de phishing comprennent l’industrie manufacturière, l’informatique, le conseil, les services financiers, les soins de santé et les services juridiques. Group-IB a déclaré avoir identifié près de 850 sites Web de phishing uniques attribués au panel W3LL au cours de la même période.
La société de cybersécurité basée à Singapour a décrit W3LL comme un instrument de phishing tout-en-un offrant toute une gamme de services allant des outils de phishing personnalisés aux listes de diffusion et à l’accès aux serveurs compromis, soulignant la tendance à la hausse du phishing en tant que moyen. plateformes de services (PhaaS).
Actif depuis 2017, l’acteur malveillant à l’origine du kit a une longue histoire dans le développement de logiciels sur mesure pour le spam par courrier électronique en masse (nommés PunnySender et W3LL Sender) avant de se concentrer sur la mise en place d’outils de phishing pour compromettre les comptes de messagerie d’entreprise.
Un composant essentiel de l’arsenal de logiciels malveillants de W3LL est un kit de phishing de type adversaire au milieu (AiTM) qui peut contourner les protections d’authentification multifacteur (MFA). Il est proposé à la vente au prix de 500 $ pour un abonnement de trois mois, suivi de frais mensuels de 150 $.
Le panneau, en plus de collecter des informations d’identification, intègre des fonctionnalités anti-bot pour échapper aux scanners automatisés de contenu Web et prolonger la durée de vie de leurs campagnes de phishing et de logiciels malveillants.
Les attaques BEC exploitant le kit de phishing W3LL impliquent une phase préparatoire pour valider les adresses e-mail à l’aide d’un utilitaire auxiliaire appelé LOMPAT et transmettre les messages de phishing.
Les victimes qui ouvrent le faux lien ou la fausse pièce jointe sont contrôlées via le script anti-bot pour filtrer les visiteurs non autorisés (qui sont dirigés vers Wikipédia) et finalement les diriger vers la page de destination de phishing via une chaîne de redirection qui utilise des tactiques AitM pour siphonner les informations d’identification et la session. biscuits.
Armé de cet accès, l’acteur malveillant se connecte ensuite au compte Microsoft 365 de la cible sans déclencher MFA, automatise la découverte de compte sur l’hôte à l’aide d’un outil personnalisé baptisé CONTOOL et collecte des e-mails, des numéros de téléphone et d’autres informations.
Certaines des tactiques notables adoptées par l’auteur du malware sont l’utilisation de Hastebin, un service de partage de fichiers, pour stocker les cookies de session volés, ainsi que de Telegram et de courrier électronique pour exfiltrer les informations d’identification des acteurs criminels.
Cette divulgation intervient quelques jours après que Microsoft a mis en garde contre une prolifération de techniques AiTM déployées via des plateformes PhaaS telles que EvilGinx, Modlishka, Muraena, EvilProxy et Greatness pour permettre aux utilisateurs d’accéder à des systèmes privilégiés sans ré-authentification à grande échelle.
« Ce qui distingue vraiment W3LL Store et ses produits des autres marchés clandestins, c’est le fait que W3LL a créé non seulement un marché, mais aussi un écosystème de phishing complexe avec un ensemble d’outils personnalisés entièrement compatibles qui couvrent la quasi-totalité de la killchain de BEC et peuvent être utilisés par les cybercriminels de tous les niveaux de compétences techniques », a déclaré Anton Ouchakov du Groupe-IB.
« La demande croissante d’outils de phishing a créé un marché clandestin florissant, attirant un nombre croissant de fournisseurs. Cette concurrence stimule l’innovation continue parmi les développeurs de phishing, qui cherchent à améliorer l’efficacité de leurs outils malveillants grâce à de nouvelles fonctionnalités et approches de leurs opérations criminelles. «
![Gel[.]Injecteur rs armé pour les attaques de logiciels malveillants XWorm](https://www.ultravpn.fr/wp-content/uploads/2023/08/GelInjecteur-rs-arme-pour-les-attaques-de-logiciels-malveillants-XWorm.jpg)
