ФБР и полиция Индонезии ликвидировали фишинговую сеть W3LL, которая использовалась для хищения $20 млн
ФБР и полиция Индонезии ликвидировали инфраструктуру фишинговой сети W3LL, использовавшейся для попыток хищения более $20 млн. Задержан предполагаемый разработчик инструмента, изъяты ключевые домены. С 2023 по 2024 год набор применялся в атаках на более чем 17 000 жертв по всему миру, а с 2019 по 2023 год через связанный с ним маркетплейс W3LL Store было продано свыше 25 000 скомпрометированных аккаунтов.
Федеральное бюро расследований США (ФБР) совместно с Национальной полицией Индонезии ликвидировало инфраструктуру глобальной фишинговой операции, использовавшей набор инструментов W3LL для кражи учётных данных. Как сообщает издание The Hacker News со ссылкой на заявление ФБР, попытки мошенничества с его помощью оцениваются в сумму более $20 млн.
Одновременно задержан предполагаемый разработчик, опознанный как Дж.Л., и конфискованы ключевые домены, связанные с фишинговой схемой. В заявлении ФБР отмечается, что ликвидация отрезает доступ к ресурсу, который использовался для несанкционированного доступа к аккаунтам жертв.
Как сообщили в ФБР, фишинговый набор W3LL позволял имитировать легитимные страницы входа, обманом получать учётные данные и захватывать контроль над аккаунтами. Набор рекламировался по цене около $500 и позволял покупателям развёртывать поддельные веб-сайты под видом доверенных порталов.
Впервые W3LL был задокументирован компанией Group-IB в сентябре 2023 года. Тогда подчёркивалось использование операторами подпольного маркетплейса W3LL Store, который обслуживал около 500 злоумышленников и позволял покупать доступ к панели W3LL, а также другим инструментам для атак с компрометацией корпоративной электронной почты (BEC). Считается, что злоумышленник, стоящий за нелегальным сервисом, действует с 2017 года, ранее разрабатывая массовые инструменты для спам-рассылок, такие как PunnySender и W3LL Sender.
По данным ФБР, W3LL Store также облегчал продажу украденных учётных данных и несанкционированного доступа к системам, включая подключения к удалённому рабочему столу. По оценкам, с 2019 по 2023 год на этой витрине продано более 25 000 скомпрометированных аккаунтов.
Как указывается в отчёте Hunt.io (март 2024 года), W3LL ориентировался прежде всего на учётные данные Microsoft 365, используя технологию «злоумышленник посередине» (AitM) для перехвата сессионных cookie-файлов и обхода многофакторной аутентификации.
Французская компания Sekoia в своём анализе фишингового набора Sneaky 2FA обнаружила, что этот инструмент переиспользовал несколько фрагментов кода из W3LL Store. Помимо этого, в отчёте отмечалось, что взломанные версии W3LL распространялись в последние несколько лет.
В ФБР добавили, что даже после закрытия W3LL Store в 2023 году операция продолжалась через зашифрованные мессенджеры, где инструмент был переименован и активно продавался. Только с 2023 по 2024 год набор использовался для атак на более чем 17 000 жертв по всему миру. Разработчик инструмента, как сообщили в ФБР, собирал и перепродавал доступ к скомпрометированным аккаунтам.
Ранее SecPost писал о том, что ФБР конфисковало киберпреступный форум RAMP, который использовался для рекламы программ-вымогателей и обсуждения хакерских операций. Правоохранители получили доступ к данным пользователей, включая IP-адреса и личные сообщения, что может привести к новым арестам. Форум был создан в 2021 году после того, как крупные русскоязычные хакерские площадки запретили обсуждение вымогательского ПО.
Читайте также
