W3LL Store: Cómo un Sindicato Secreto de Phishing Ataca a Más de 8,000 Cuentas de Microsoft 365

-

Un "imperio de phishing" previamente no documentado ha sido vinculado a ataques cibernéticos dirigidos a comprometer cuentas de correo electrónico empresarial de Microsoft 365 durante los últimos seis años.

"El actor de la amenaza creó un mercado subterráneo oculto, llamado W3LL Store, que servía a una comunidad cerrada de al menos 500 actores de amenazas que podían comprar un kit de phishing personalizado llamado W3LL Panel, diseñado para eludir la MFA, así como 16 otras herramientas completamente personalizadas para ataques de compromiso de correo electrónico empresarial (BEC)", dijo Group-IB en un informe compartido con The Hacker News.

Se estima que la infraestructura de phishing ha tenido como objetivo más de 56,000 cuentas corporativas de Microsoft 365 y ha comprometido al menos 8,000 de ellas, principalmente en EE. UU., Reino Unido, Australia, Alemania, Canadá, Francia, Países Bajos, Suiza e Italia entre octubre de 2022 y julio de 2023, obteniendo $500,000 en ganancias ilícitas para sus operadores.

Algunos de los sectores prominentes infiltrados mediante la solución de phishing incluyen manufactura, TI, consultoría, servicios financieros, atención médica y servicios legales. Group-IB dijo que identificó cerca de 850 sitios web de phishing únicos atribuidos al W3LL Panel durante el mismo período de tiempo.

La empresa de ciberseguridad con sede en Singapur ha descrito a W3LL como un instrumento de phishing todo en uno que ofrece un espectro completo de servicios que van desde herramientas de phishing personalizadas hasta listas de correo y acceso a servidores comprometidos, subrayando la tendencia al alza de las plataformas de phishing como servicio (PhaaS).

Activo desde 2017, el actor de la amenaza detrás del kit tiene una larga historia de desarrollo de software a medida para correo no deseado masivo (llamado PunnySender y W3LL Sender) antes de centrar su atención en la configuración de herramientas de phishing para comprometer cuentas de correo electrónico corporativas.

Un componente central del arsenal de malware de W3LL es un kit de phishing enemigo en el medio (AiTM) que puede eludir las protecciones de autenticación multifactor (MFA). Se ofrece a la venta por $500 para una suscripción de tres meses con una tarifa mensual posterior de $150.

El panel, además de recopilar credenciales, incluye funcionalidad anti-bot para evadir escáneres de contenido web automatizados y extender la vida útil de sus campañas de phishing y malware.




Los ataques BEC que utilizan el kit de phishing W3LL implican una fase preparatoria para validar direcciones de correo electrónico mediante una utilidad auxiliar denominada LOMPAT y entregar los mensajes de phishing.

Las víctimas que abren el enlace o archivo adjunto falso son filtradas a través del script anti-bot para eliminar visitantes no permitidos (que son dirigidos a Wikipedia) y finalmente los llevan a la página de destino de phishing a través de una cadena de redireccionamiento que emplea tácticas de AitM para sustraer credenciales y cookies de sesión.

Armado con este acceso, el actor de la amenaza luego procede a iniciar sesión en la cuenta de Microsoft 365 del objetivo sin activar la MFA, automatizar el descubrimiento de cuentas en el host mediante una herramienta personalizada llamada CONTOOL y recopilar correos electrónicos, números de teléfono y otra información.

Algunas de las tácticas notables adoptadas por el autor del malware son el uso de Hastebin, un servicio para compartir archivos, para almacenar cookies de sesión robadas, así como Telegram y correo electrónico para exfiltrar las credenciales a los actores criminales.

La divulgación se produce días después de que Microsoft advirtiera de una proliferación de técnicas de AiTM desplegadas a través de plataformas PhaaS como EvilGinx, Modlishka, Muraena, EvilProxy y Greatness para permitir el acceso de los usuarios a sistemas privilegiados sin reautenticación a gran escala.

"Lo que realmente hace que W3LL Store y sus productos se destaquen de otros mercados subterráneos es el hecho de que W3LL no solo creó un mercado sino un ecosistema de phishing complejo con un conjunto de herramientas personalizadas completamente compatible que cubre casi toda la cadena de matanza de BEC y puede ser utilizado por ciberdelincuentes de todos los niveles técnicos", dijo Anton Ushakov de Group-IB.

"La creciente demanda de herramientas de phishing ha creado un mercado subterráneo en auge, atrayendo a un número creciente de proveedores. Esta competencia impulsa la innovación continua entre los desarrolladores de phishing, que buscan mejorar la eficiencia de sus herramientas maliciosas a través de nuevas características y enfoques para sus operaciones criminales."


Contenido traducido al español con fines informativos, cualquier cambio en la publicación original no será reflejada en esta entrada, favor referirse a la fuente para obtener el acceso a cualquier actualización del contenido. Para la traducción se utilizó ChatGPT, al ser una traducción automática puede contener errores gramaticales o de otro tipo, favor enviar comentarios al moderador para corregir.

Comentarios

Publicar un comentario

Entradas más populares de este blog

Falsos sitios de DocuSign y Gitcode propagan NetSupport RAT mediante ataque PowerShell en múltiples etapas

-
Imagen
Cazadores de amenazas están alertando sobre una nueva campaña que utiliza sitios web falsos para engañar a usuarios desprevenidos y hacer que ejecuten scripts maliciosos de PowerShell en sus máquinas, infectándolas con el malware NetSupport RAT. El equipo de Investigaciones de DomainTools (DTI) informó que identificó “scripts PowerShell maliciosos en múltiples etapas” alojados en sitios trampa que se hacen pasar por Gitcode y DocuSign. “Estos sitios intentan engañar a los usuarios para que copien y ejecuten un script inicial de PowerShell desde el comando ‘Ejecutar’ de Windows”, indicó la empresa en un informe técnico compartido con The Hacker News. “Al hacerlo, el script de PowerShell descarga otro script que actúa como descargador y lo ejecuta en el sistema, lo que a su vez recupera cargas útiles adicionales y las ejecuta, instalando finalmente NetSupport RAT en las máquinas infectadas.” Ciberseguridad Se cree que estos sitios falsos se propagan mediante tácticas de ingeniería so...
Leer más

El FBI advierte sobre suplantación de correo electrónico por parte del actor de amenazas norcoreano Kimsuky

-
Imagen
El actor de amenazas norcoreano Kimsuky está aprovechando nuevas tácticas de suplantación de correo electrónico en sus recientes campañas de spearphishing, advirtieron conjuntamente el Buró Federal de Investigaciones (FBI), el Departamento de Estado de EE. UU. y la Agencia de Seguridad Nacional (NSA) el jueves en un aviso conjunto . Kimsuky, también conocido como Emerald Sleet o APT43, es una subunidad de la Oficina General de Reconocimiento (RGB) del ejército norcoreano y es conocido por sus campañas de spearphishing destinadas a recopilar inteligencia sobre asuntos que afectan los intereses norcoreanos. Esto incluye información sobre eventos geopolíticos y las estrategias de política exterior de los adversarios de Corea del Norte. El modus operandi del grupo es hacerse pasar por periodistas legítimos, grupos de expertos, académicos y otros expertos en asuntos del este asiático, convenciendo a las víctimas de abrir enlaces o documentos maliciosos bajo el pretexto de ofrecer una entrev...
Leer más

Resumen de los Principales Acontecimientos en Ciberseguridad de 2024

-
Imagen
El año 2024 ha sido testigo de eventos significativos en el ámbito de la ciberseguridad, marcados por avances tecnológicos, amenazas emergentes y respuestas regulatorias. Aumento de los Ataques de Ransomware  The Verge El ransomware continuó siendo una amenaza predominante. Grupos como LockBit llevaron a cabo ataques a gran escala, afectando a más de 2,500 entidades en al menos 120 países, incluyendo 1,800 en los Estados Unidos. Estos ataques resultaron en pérdidas financieras significativas y comprometieron datos sensibles de diversas organizaciones. Avances en la Regulación y Responsabilidad de las Empresas Tecnológicas  The Verge La propuesta de la Ley de Seguridad en Línea para Niños (KOSA) en los Estados Unidos buscó aumentar la responsabilidad de las empresas de redes sociales en la protección de los menores en línea. Aunque enfrentó desafíos legislativos, reflejó una tendencia global hacia una mayor regulación de las plataformas digitales para salvaguardar a los usuario...
Leer más