Un actor de amenazas conocido como W3LL desarrolló un kit de phishing que
puede eludir la autenticación multifactor y otras herramientas que
comprometieron más de 8.000 cuentas corporativas de Microsoft 365.
En diez meses, los investigadores de seguridad descubrieron que las utilidades
y la infraestructura de W3LL se utilizaron para configurar alrededor de 850
phishing dirigidos a credenciales de más de 56.000 cuentas de Microsoft 365.
Hacer crecer el negocio
Al servir a una comunidad de al menos 500 ciberdelincuentes, las herramientas
de phishing personalizadas de W3LL se emplearon en ataques de compromiso de
correo electrónico empresarial (BEC) que causaron millones de dólares
estadounidenses en pérdidas financieras.
Los investigadores dicen que el inventario de W3LL cubre casi toda la cadena
de ataque (Kill-Chain) de una operación BEC y puede ser operado por
«ciberdelincuentes de todos los niveles técnicos».
En el reporte de amenazas «W3LL DONE: HIDDEN PHISHING ECOSYSTEM DRIVING BEC ATTACKS», la empresa de ciberseguridad Group-IB proporciona detalles sobre W3LL y cómo
creció hasta convertirse en uno de los desarrolladores maliciosos más
avanzados para los grupos BEC. La primera evidencia de la actividad de W3LL
parece ser de 2017, cuando el desarrollador comenzó a ofrecer una herramienta
personalizada para el envío masivo de correos electrónicos llamada W3LL SMTP
Sender, que se utilizaba para enviar spam.
La popularidad y el negocio del actor comenzaron a crecer cuando comenzó a
vender un kit de phishing personalizado centrado en cuentas corporativas de
Microsoft 365.
En 2018, W3LL lanzó su W3LL Store, un mercado de habla inglesa donde podía
promocionar y vender sus herramientas a una comunidad cerrada de
ciberdelincuentes, dicen los investigadores.
«El arma principal de W3LL, W3LL Panel, puede considerarse uno de los kits
de phishing más avanzados de su clase, con funcionalidad de adversario en el
medio, API, protección de código fuente y otras capacidades únicas»
–
Group-IB
Arsenal W3LL para ataques BEC
Además del Panel W3LL, que fue diseñado para evitar la autenticación
multifactor (MFA), el actor proporciona 16 herramientas más, todas preparadas
para ataques BEC. El catálogo incluye:
- Remitentes SMTP PunnySender y W3LL Sender
- El enlace malicioso stager W3LL Redirect
- Un escáner de vulnerabilidades llamado OKELO
- Una utilidad automatizada de descubrimiento de cuentas llamada CONTOOL
- Un validador de correo electrónico llamado LOMPAT
Según Group-IB, W3LL Store ofrece soluciones para implementar un ataque BEC
desde la etapa inicial de selección de víctimas, señuelos de phishing con
archivos adjuntos armados (predeterminados o personalizados) hasta el
lanzamiento de correos electrónicos de phishing que llegan a las bandejas de
entrada de las víctimas.
Los investigadores dicen que W3LL tiene la habilidad suficiente para proteger
sus herramientas para que no sean detectadas o eliminadas implementándolas y
alojándolas en servidores y servicios web comprometidos.
Sin embargo, los clientes también tienen la opción de utilizar el escáner
OKELO de W3LL para encontrar sistemas vulnerables y acceder a ellos por su
cuenta.
Evitar filtros y agentes de seguridad
Algunas de las técnicas que emplea W3LL para evitar los filtros de correo
electrónico y los agentes de seguridad incluyen varios métodos de ofuscación
para los encabezados y el cuerpo del texto del correo electrónico (Punycode,
etiquetas HTML, imágenes, enlaces con contenido remoto).
Los enlaces iniciales de phishing también se entregan mediante múltiples
métodos que evaden la detección. Una es mediante archivos adjuntos de phishing
en lugar de incrustarlos en el cuerpo del correo electrónico.
Los investigadores descubrieron que el enlace se coloca en un archivo HTML que
viene como archivo adjunto. Cuando la víctima inicia el HTML malicioso, que
podría disfrazarse de documento o mensaje de voz, se abre una ventana del
navegador con una «animación de MS Outlook de apariencia genuina».
Esta es la página de phishing del Panel W3LL lista para recopilar las
credenciales de la cuenta de Microsoft 365.
Al analizar un archivo adjunto de phishing W3LL descubierto en la naturaleza,
Group-IB notó que era un archivo HTML que mostraba un sitio web en un iframe
usando JavaScript ofuscado mediante codificación Base64.
En una versión más reciente, actualizada a finales de junio, W3LL agregó
múltiples capas de ofuscación y codificación. Carga el script directamente
desde el Panel W3LL en lugar de incluirlo en el código HTML.
La cadena de eventos de la variante más reciente se ve así:
Secuestro de cuentas corporativas de Microsoft 365
Los
investigadores de Group-IB explican
que el enlace inicial en un señuelo de phishing no conduce a la página de
inicio de sesión falsa de Microsoft 365 en el Panel W3LL y es solo el comienzo
de una cadena de redireccionamiento destinada a evitar el descubrimiento de
páginas de phishing del Panel W3LL.
Para que W3LL comprometa una cuenta de Microsoft 365, utiliza la técnica del
adversario/hombre en el medio (AitM/MitM), donde la comunicación entre la
víctima y el servidor de Microsoft pasa a través del Panel W3LL y la Tienda
W3LL que actúa como backend.
El objetivo es obtener la cookie de sesión de autenticación de la víctima.
Para que esto suceda, W3LL Panel debe seguir varios pasos, que incluyen:
- Pasar la verificación CAPTCHA
- Configure la página de inicio de sesión falsa correcta
- Validar la cuenta de la víctima
- Obtener la identidad de marca de la organización objetivo.
- Obtener las cookies para el proceso de inicio de sesión
- Identificar el tipo de cuenta
- Validar la contraseña
- Obtenga el código de acceso de un solo uso (OTP)
- Obtener una cookie de sesión autenticada
Después de que el Panel W3LL obtiene la cookie de sesión de autenticación, la
cuenta se ve comprometida y se muestra a la víctima un documento PDF para que
la solicitud de inicio de sesión parezca legítima.
Etapa de descubrimiento de cuenta
Usando CONTOOL, el atacante puede automatizar la búsqueda de correos
electrónicos, números de teléfono, archivos adjuntos, documentos o URL que
utilizó la víctima, lo que podría ayudar en la etapa de movimiento lateral.
La herramienta también puede monitorear, filtrar y modificar correos
electrónicos entrantes, así como recibir en una cuenta de Telegram
notificaciones basadas en palabras clave específicas.
Según Group-IB, los resultados típicos de un ataque de este tipo son:
- Robo de datos
- Factura falsa con la información de pago del atacante
-
Suplantar servicios profesionales para enviar solicitudes de pago
fraudulentas a clientes. -
Fraude BEC clásico: acceso a un alto ejecutivo y actuar en su nombre para
instruir a los empleados a realizar transferencias bancarias o comprar
bienes. - Distribuir malware
Ganar dinero
El
informe de Group-IB profundiza
en la funcionalidad del Panel W3LL, describiendo a nivel técnico cómo
funcionan algunas de las características para lograr el objetivo previsto, ya
sea evadir la detección o recopilar datos.
W3LL Panel es la joya de la corona del desarrollador y tiene un precio de $500
por tres meses y un precio de renovación mensual de $150. También se debe
comprar una licencia para activarlo.
A continuación se muestra la página de compra del kit y el panel de
administración:
El actor de amenazas W3LL existe desde hace unos cinco años y acumuló una base
de clientes de más de 500 ciberdelincuentes que tienen en la tienda más de
12.000 artículos para elegir.
Además de las herramientas relacionadas con el phishing y BEC, W3LL también
brinda acceso a servicios web comprometidos (shell web, correo electrónico,
sistemas de administración de contenido) y servidores SSH y RDP, cuentas de
servicios de alojamiento y en la nube, dominios de correo electrónico
empresarial, cuentas VPN y cuentas de correo electrónico secuestradas. .
Los investigadores del Group-IB dicen que entre octubre de 2022 y julio de
2023, W3LL vendió más de 3.800 artículos, con una facturación estimada que
supera los 500.000 dólares.
Fuente: BC
Los comentarios están cerrados.