Un attore minaccioso noto come W3LL ha sviluppato un kit di phishing in grado di bypassare l’autenticazione multifattore (MFA), compromettendo oltre 8.000 account aziendali Microsoft 365. In dieci mesi, i ricercatori di sicurezza hanno scoperto che gli strumenti e l’infrastruttura di W3LL sono stati utilizzati per configurare circa 850 campagne di phishing che hanno preso di mira le credenziali di oltre 56.000 account Microsoft 365.
Espansione dell’attività
Servendo una comunità di almeno 500 cybercriminali, gli strumenti personalizzati di phishing di W3LL sono stati impiegati in attacchi di compromissione della posta elettronica aziendale (BEC) che hanno causato perdite finanziarie di milioni di dollari statunitensi. Gli strumenti di W3LL coprono quasi l’intera catena di attacco di un’operazione BEC e possono essere operati da “cybercriminali di tutti i livelli di abilità tecnica”. La società di cybersecurity Group-IB ha fornito dettagli su W3LL e su come sia diventato uno dei più avanzati sviluppatori malintenzionati per i gruppi BEC.
Arsenale W3LL per attacchi BEC
Oltre al pannello W3LL, progettato per bypassare l’MFA, l’attore fornisce altri 16 strumenti, tutti predisposti per attacchi BEC. Il catalogo include:
- Mittenti SMTP PunnySender e W3LL Sender
- Il generatore di link malevoli W3LL Redirect
- Uno scanner di vulnerabilità chiamato OKELO
- Uno strumento di scoperta automatica degli account chiamato CONTOOL
- Un validatore di email chiamato LOMPAT
Secondo Group-IB, il W3LL Store offre soluzioni per implementare un attacco BEC dalla fase iniziale di selezione delle vittime, con esche di phishing con allegati armati (predefiniti o personalizzati), fino al lancio di email di phishing che arrivano nelle caselle di posta delle vittime.
Bypassare filtri e agenti di sicurezza
Alcune delle tecniche impiegate da W3LL per bypassare i filtri email e gli agenti di sicurezza includono vari metodi di offuscamento per intestazioni email e corpo del testo (Punycode, tag HTML, immagini, link con contenuto remoto). I link di phishing iniziali vengono anche consegnati utilizzando metodi multipli che evitano il rilevamento.
Compromissione degli account aziendali Microsoft 365
I ricercatori di Group-IB spiegano che il link iniziale in un’esca di phishing non porta alla falsa pagina di login di Microsoft 365 nel pannello W3LL, ma è solo l’inizio di una catena di reindirizzamenti intesa a prevenire la scoperta delle pagine di phishing del pannello W3LL.