Un acteur malveillant connu sous le nom de W3LL a développé un kit de phishing capable de contourner l’authentification multifacteur ainsi que d’autres outils qui ont compromis plus de 8 000 comptes d’entreprise Microsoft 365.
En dix mois, les chercheurs en sécurité ont découvert que les utilitaires et l’infrastructure de W3LL étaient utilisés pour mettre en place environ 850 phishing ciblant les informations d’identification de plus de 56 000 comptes Microsoft 365.
Développer l’entreprise
Au service d’une communauté d’au moins 500 cybercriminels, les outils de phishing personnalisés de W3LL ont été utilisés dans des attaques de compromission de la messagerie professionnelle (BEC) qui ont causé des millions de dollars de pertes financières.
Les chercheurs affirment que l’inventaire de W3LL couvre presque toute la chaîne de destruction d’une opération BEC et peut être exploité par des « cybercriminels de tous niveaux techniques ».
Dans un rapport publié aujourd’hui, la société de cybersécurité Group-IB fournit des détails sur W3LL et explique comment elle est devenue l’un des développeurs malveillants les plus avancés pour les groupes BEC.
La première preuve de l’activité de W3LL semble dater de 2017, lorsque le développeur a commencé à proposer un outil personnalisé pour l’envoi massif d’e-mails appelé W3LL SMTP Sender, qui était utilisé pour le spam.
La popularité et l’activité de l’acteur ont commencé à croître lorsqu’il a commencé à vendre un kit de phishing personnalisé axé sur les comptes d’entreprise Microsoft 365.
En 2018, W3LL a lancé son W3LL Store, une place de marché anglophone où elle pourrait promouvoir et vendre ses outils à une communauté fermée de cybercriminels, indiquent les chercheurs.
« L’arme principale de W3LL, W3LL Panel, peut être considérée comme l’un des kits de phishing les plus avancés de sa catégorie, offrant une fonctionnalité d’adversaire au milieu, une API, une protection du code source et d’autres fonctionnalités uniques » – Group-IB
Arsenal W3LL pour les attaques BEC
Outre le panneau W3LL, conçu pour contourner l’authentification multifacteur (MFA), l’acteur fournit 16 autres outils, tous préparés pour les attaques BEC. Le catalogue comprend :
- Expéditeurs SMTP PunnySender et W3LL Sender
- Le stager de lien malveillant W3LL Redirect
- Un scanner de vulnérabilités appelé OKELO
- Un utilitaire de découverte de compte automatisé nommé CONTOOL
- Un validateur d’e-mails appelé LOMPAT
Selon Group-IB, W3LL Store propose des solutions pour déployer une attaque BEC depuis la phase initiale de sélection des victimes, des leurres de phishing avec des pièces jointes armées (par défaut ou personnalisées), jusqu’au lancement d’e-mails de phishing qui atterrissent dans les boîtes de réception des victimes.
Les chercheurs affirment que W3LL est suffisamment compétent pour protéger ses outils contre la détection ou la suppression en les déployant et en les hébergeant sur des serveurs et services Web compromis.
Cependant, les clients ont également la possibilité d’utiliser le scanner OKELO de W3LL pour rechercher les systèmes vulnérables et y accéder par eux-mêmes.
Contourner les filtres et les agents de sécurité
Certaines des techniques utilisées par W3LL pour contourner les filtres de courrier électronique et les agents de sécurité incluent diverses méthodes d’obscurcissement des en-têtes de courrier électronique et du corps du texte (Punycode, balises HTML, images, liens avec du contenu distant).
Les liens de phishing initiaux sont également fournis à l’aide de plusieurs méthodes qui échappent à la détection. La première consiste à utiliser des pièces jointes de phishing au lieu de les intégrer dans le corps de l’e-mail.
Le lien est placé dans un fichier HTML fourni en pièce jointe, ont découvert les chercheurs. Lorsque la victime lance le code HTML malveillant, qui pourrait être déguisé en document ou en message vocal, une fenêtre de navigateur s’ouvre avec une « animation MS Outlook authentique ».
Il s’agit de la page de phishing du panneau W3LL prête à collecter les informations d’identification du compte Microsoft 365.
En analysant une pièce jointe de phishing W3LL découverte dans la nature, Group-IB a remarqué qu’il s’agissait d’un fichier HTML qui affichait un site Web dans une iframe en utilisant du JavaScript masqué par le codage base64.
Dans une version plus récente, mise à jour fin juin, W3LL a ajouté plusieurs couches d’obscurcissement et d’encodage. Il charge le script directement depuis le panneau W3LL au lieu de l’inclure dans le code HTML.
La chaîne d’événements pour la variante la plus récente ressemble à ceci :
Détournement de comptes d’entreprise Microsoft 365
Les chercheurs du Group-IB expliquent que le lien initial dans un leurre de phishing ne mène pas à la fausse page de connexion Microsoft 365 dans le panneau W3LL et qu’il n’est que le début d’une chaîne de redirection destinée à empêcher la découverte de pages de phishing du panneau W3LL.
Pour que W3LL compromette un compte Microsoft 365, il utilise la technique adversaire/homme du milieu (AitM/MitM), où la communication entre la victime et le serveur Microsoft passe par le panneau W3LL et le magasin W3LL agissant comme un backend. système.
Le but est d’obtenir le cookie de session d’authentification de la victime. Pour que cela se produise, le panneau W3LL doit passer par plusieurs étapes, notamment :
- Réussir la vérification CAPTCHA
- Configurer la bonne fausse page de connexion
- Valider le compte de la victime
- Obtenir l’identité de marque de l’organisation cible
- Obtenez les cookies pour le processus de connexion
- Identifiez le type de compte
- Valider le mot de passe
- Obtenez le code d’accès à usage unique (OTP)
- Obtenez un cookie de session authentifié
Une fois que le panel W3LL a reçu le cookie de session d’authentification, le compte est compromis et la victime voit un document PDF, pour que la demande de connexion semble légitime.
Étape de découverte de compte
Grâce à CONTOOL, l’attaquant peut automatiser la recherche d’e-mails, de numéros de téléphone, de pièces jointes, de documents ou d’URL utilisés par la victime, ce qui pourrait faciliter l’étape de mouvement latéral.
L’outil peut également surveiller, filtrer et modifier les e-mails entrants, ainsi que recevoir dans un compte Telegram des notifications basées sur des mots-clés spécifiques.
Selon Group-IB, les résultats typiques d’une telle attaque sont :
- Le vol de données
- Fausse facture avec les informations de paiement de l’attaquant
- Usurpation de l’identité de services professionnels pour envoyer des demandes de paiement frauduleuses aux clients
- Fraude BEC classique : accès à un cadre supérieur et action en son nom pour demander aux employés d’effectuer des virements électroniques ou d’acheter des biens.
- Distribuer des logiciels malveillants
Faire de l’argent
Le rapport de Group-IB approfondit les fonctionnalités du panel W3LL, décrivant au niveau technique comment certaines fonctionnalités fonctionnent pour atteindre l’objectif visé, qu’il s’agisse d’échapper à la détection ou de collecter des données.
W3LL Panel est le joyau du développeur et coûte 500 $ pour trois mois et un prix de renouvellement mensuel de 150 $. Une licence pour l’activer doit également être achetée.
Ci-dessous la page d’achat du kit et du panneau d’administration :
L’acteur malveillant W3LL existe depuis environ cinq ans et a constitué une clientèle de plus de 500 cybercriminels qui proposent dans leur magasin plus de 12 000 articles parmi lesquels choisir.
Outre les outils liés au phishing et au BEC, W3LL donne également accès à des services Web compromis (shell Web, messagerie électronique, systèmes de gestion de contenu) et aux serveurs SSH et RDP, aux comptes d’hébergement et de services cloud, aux domaines de messagerie professionnels, aux comptes VPN et aux comptes de messagerie piratés. .
Les chercheurs du Groupe-IB affirment qu’entre octobre 2022 et juillet 2023, W3LL a vendu plus de 3 800 articles, pour un chiffre d’affaires estimé à plus de 500 000 $.