0
0
Um vasto império de phishing de um ator de ameaça conhecido como W3LL está se espalhando globalmente, comprometendo com sucesso mais de 8.000 contas corporativas do Microsoft 365 nos últimos 10 meses na Austrália, na Europa e nos EUA.
De acordo com uma investigação do Group-IB, as ferramentas do W3LL atingiram pelo menos 56.000 contas do Microsoft 365desde outubro passado e desfrutam de uma taxa de sucesso de comprometimento de 14,3%. Os pesquisadores da empresa identificaram cerca de 850 sites de phishing exclusivos atribuídos às ferramentas da gangue cibernética no mesmo período, visando uma variedade de setores, incluindo manufatura, TI, serviços financeiros, consultoria, saúde e serviços jurídicos.
Para começar, a W3LL criou um mercado subterrâneo privado de mesmo nome que atende uma rede de mais de 500 cibercriminosos, que podem fazer uso de um kit de phishing altamente sofisticado conhecido como Painel W3LL para configurar suas campanhas.
“O que realmente faz a W3LL Store e seus produtos se destacarem de outros mercados clandestinos é o fato de que a W3LL criou não apenas um mercado, mas um complexo ecossistema de phishing com um conjunto de ferramentas personalizadas totalmente compatível que cobre quase toda a cadeia de destruição do BEC e pode ser usado por cibercriminosos de todos os níveis de habilidade técnica”, disse Anton Ushakov, vice-chefe do Departamento de Investigação de Crimes de Alta Tecnologia do Grupo-IB, na Europa, em um comunicado.
A comunidade secreta permaneceu fora do radar por quase seis anos, disseram os pesquisadores.
“O desenvolvedor não anuncia a loja W3LL e pede a seus clientes que evitem divulgá-la on-line”, de acordo com as descobertas do Grupo-IB no W3LL , divulgadas em 6 de setembro. “Devido à sua alta eficiência, o kit de phishing tornou-se confiável para um círculo estreito de criminosos BEC… [e] cada cópia do Painel W3LL deve ser habilitada por meio do mecanismo de ativação baseado em token, que evita que o kit seja revendido ou seu código-fonte seja roubado.”
3LL-Oiled: dentro de um painel abrangente de phishing
O painel W3LL foi projetado especificamente para contas do Microsoft 365, com recursos de desvio de autenticação multifator (MFA) e 16 outras “ferramentas totalmente personalizadas” para realizar ataques de comprometimento de email comercial (BEC). Isso inclui módulos licenciáveis como remetentes SMTP (PunnySender e W3LL Sender), um stager de link malicioso (W3LL Redirect), um scanner de vulnerabilidade (OKELO), um instrumento automatizado de descoberta de conta (CONTOOL), ferramentas de reconhecimento e muito mais, pesquisadores do Grupo-IB observado.
Ele está disponível para afiliados de phishing como serviço, aos quais é oferecida uma divisão de 70/30 com a casa sobre os lucros, disseram os pesquisadores. O mercado também oferece um “bônus de indicação” de 10% para trazer outros afiliados de confiança para a comunidade. Coletivamente, as campanhas arrecadaram US$ 500 mil para a equipe do W3LL desde outubro passado.
Desde 2018, “a plataforma evoluiu para um ecossistema BEC totalmente suficiente, oferecendo todo um espectro de serviços de phishing para cibercriminosos de todos os níveis, desde ferramentas de phishing personalizadas até itens suplementares, como listas de e-mail e acesso a servidores comprometidos”, de acordo com o Grupo -Conclusões do IB, que observou que o W3LL atualiza regularmente suas ferramentas, adicionando novas funcionalidades, melhorando mecanismos anti-detecção e criando novos.
Os pesquisadores acrescentaram: “A W3LL Store fornece ‘suporte ao cliente’ por meio de um sistema de tickets e chat ao vivo. Os cibercriminosos que não possuem as habilidades necessárias para aproveitar as ferramentas podem assistir a tutoriais em vídeo”.
Os phishers que usam o Painel W3LL podem estar interessados em usar contas de e-mail comprometidas para uma série de finalidades, de acordo com o Group-IB, incluindo roubo de dados, golpes de faturas falsas, falsificação de identidade do proprietário da conta ou distribuição de malware.
“As consequências para uma empresa que sofreu um ataque BEC podem ir além das perdas financeiras diretas (que podem variar de milhares a milhões de dólares) e podem estender-se a vazamentos de dados, danos à reputação, pedidos de compensação e até ações judiciais”, afirmam os pesquisadores. observado.
W3LL traz sofisticação perigosa para phishers
Os kits de phishing e as ofertas de phishing como serviço não são novidade, mas os processos altamente eficientes e o modelo de negócios profissionalizado do W3LL significam uma evolução na sofisticação, e as organizações precisam redobrar suas proteções cibernéticas para ameaças transmitidas por e-mail, observam os pesquisadores.
“As empresas precisam entender que não estão lidando com uma criança no porão da casa dos pais tentando escrever código; essas são operações bem organizadas e em grande escala, com muitos recursos à sua disposição”, afirma Erich Kron, defensor da conscientização sobre segurança na KnowBe4. . “Certamente ainda não vimos o fim deste tipo de evolução no cibercrime. A inteligência artificial (IA) aumentará estas ofertas ofensivas tal como acontece no lado defensivo, pelo que as organizações e os indivíduos precisam de estar preparados para ataques mais convincentes, sejam eles por telefone, mensagens de texto ou e-mail, ou mesmo uma combinação destes.”
Para se protegerem, as empresas precisam de adotar uma abordagem em camadas à segurança cibernética, afirma David Raissipour, diretor de tecnologia e produto da Mimecast.
“Eles devem monitorar a atividade de login em busca de anomalias relacionadas a contas comprometidas”, diz ele. “Eles devem redefinir regularmente as senhas e aplicar a MFA (mesmo com esta ameaça apresentando novos desafios). Finalmente, eles devem treinar seus funcionários para questionar solicitações incomuns, mesmo que sejam aparentemente de fontes confiáveis”.
Mas ele acrescenta que não são apenas os alvos empresariais que têm a responsabilidade de combater a crescente onda de phishing. Ecoando outras críticas, Raissipour diz que a Microsoft também tem culpa por ataques bem-sucedidos.
“Os fornecedores devem tomar medidas semelhantes para proteger as suas plataformas e os seus clientes”, observa ele. “O problema é que os fornecedores não estão sendo responsabilizados pela comunicação transparente e proativa de atualizações e problemas. Se houver tempo para um malfeitor construir um kit de ferramentas, isso significa que um fornecedor sabia e aguardava até que o dano fosse feito. um fornecedor de plataforma dominante e é hora de colocarem seus clientes à frente de sua reputação e lucros.”
A Microsoft não respondeu imediatamente a um pedido de comentário.
FONTE: DARK READING