W3LL: Verdecktes BEC-Phishing-Imperium entlarvt

Der Cybersicherheitsanbieter Group-IB hat heute einen neuen Bericht mit dem Titel „W3LL done: Hidden phishing ecosystem driving BEC attacks” („Gut gemacht: Verdecktes Phishing-Ökosystem verübt BEC-Angriffe“ – Business E-Mail Compromise) veröffentlicht. Der Bericht beschreibt die Aktivitäten von W3LL, dem Bedrohungsakteur hinter einem Phishing-Imperium, das bisher weitgehend unbekannt war.

Die Threat-Intelligence– und Cyber-Investigation-Teams von Group-IB haben die Evolution von W3LL verfolgt und festgestellt: In den vergangenen sechs Jahren spielte die Organisation eine massgebliche Rolle bei der Kompromittierung von Microsoft-365-basierten Geschäfts-E-Mail-Konten. Der Bedrohungsakteur erschuf einen versteckten Untergrundmarkt namens W3LL Store, der einer geschlossenen Gemeinschaft von mindestens 500 Kriminellen diente.

Anzeige

Diese konnten über die Plattform sowohl ein personalisiertes Phishing-Kit namens W3LL Panel erwerben, das entwickelt wurde, um Mehr-Faktor-Authentifizierungsmechanismen zu umgehen, als auch 16 weitere vollständig angepasste Tools für die Kompromittierung von geschäftlichen E-Mail-Konten. Die Ermittler von Group-IB stellten ebenfalls fest, dass W3LLs Phishing-Tools zwischen Oktober 2022 und Juli 2023 dazu verwendet wurden, über 56.000 Microsoft-365-Unternehmenskonten in den USA, Australien und Europa anzugreifen. Nach einer groben Schätzung von Group-IB könnte der W3LL Store in den letzten zehn Monaten etwa 500.000 US-Dollar umgesetzt haben. Alle von den Cyberermittlern von Group-IB gesammelten Informationen über W3LL wurden relevanten Strafverfolgungsbehörden zur Verfügung gestellt.

„Ihr verliert kein Wort über den W3LL Club!“

Die kriminelle Laufbahn von W3LL kann bis ins Jahr 2017 zurückverfolgt werden, als der W3LL SMTP Sender – ein maßgeschneidertes Tool für Massen-Spam – auf den Markt kam. Daraufhin entwickelte und vermarktete W3LL die eigene Version eines Phishing-Kits zum Angriff auf Microsoft-365-Geschäftskonten. Die wachsende Beliebtheit des praktischen Werkzeugs veranlasste den Bedrohungsakteur dazu, einen verdeckten englischsprachigen Untergrund-Store zu eröffnen. Der W3LL Store nahm 2018 seinen Betrieb auf. Im Laufe der Zeit entwickelte sich die Plattform zu einem vollständigen BEC-Ökosystem, das eine breite Palette an Phishing-Diensten für Cyberkriminelle aller Art anbot – von personalisierten Phishing-Tools bis hin zu Zusatzartikeln wie Mailing-Listen und Zugängen zu kompromittierten Servern.

Der W3LL Store bietet „Kundensupport“ über ein Ticketsystem und einen Live-Webchat. Cyberkriminelle, die nicht über die erforderlichen Kenntnisse zur Nutzung der Tools verfügen, können auf Video-Tutorials zurückgreifen. Der W3LL Store verfügt über ein eigenes Bonusprogramm für Empfehlungen (mit einer Vermittlungsprovision von 10 %). Auch Drittanbieter können eigene Produkte über die Plattform vermarkten, hierfür erhält W3LL eine Provision von 30%.

Derzeit hat der W3LL Store über 500 aktive Benutzer. Um Kunde im W3LL Store zu werden, müssen Neueinsteiger von bestehenden Mitgliedern empfohlen werden. Neue Benutzer haben drei Tage Zeit, um eine Einzahlung auf ihr Konto vorzunehmen, andernfalls wird ihr Konto deaktiviert. Der Entwickler bewirbt den W3LL Store nicht und bittet seine Kunden, keine Informationen darüber online zu verbreiten. Group-IB hat über 3.800 Artikel identifiziert, die über den Marktplatz zwischen Oktober 2022 und Juli 2023 verkauft wurden. Aktuell stehen über 12.000 Artikel zum Verkauf. Der Umsatz des W3LL-Stores in den letzten zehn Monaten wurde auf 500.000 US-Dollar geschätzt.

Offenlegung der W3LL-Infrastruktur

W3LLs wichtigstes Werkzeug, das W3LL Panel, kann als eines der fortschrittlichsten Phishing-Kits seiner Klasse betrachtet werden und verfügt über Adversary-in-the-Middle-Funktionalitäten (AitM), API, Quellcode-Schutz und andere einzigartige Merkmale. Das W3LL Panel setzt nicht auf eine Vielzahl von gefälschten Seiten und wurde speziell dafür entwickelt, Microsoft-365-Konten zu kompromittieren. Trotzdem gewann das Phishing-Kit aufgrund seiner hohen Effizienz das Vertrauen eines kleinen Kreises von BEC-Kriminellen. W3LL bietet das Phishing-Kit mit einem dreimonatigen Abo zum Preis von 500 US-Dollar an, pro Folgemonat werden zusätzlich jeweils 150 US-Dollar verlangt. Jedes Exemplar des W3LL-Panels muss über den Token-basierten Aktivierungsmechanismus aktiviert werden, was verhindert, dass das Kit weiterverkauft oder der Quellcode gestohlen wird.

Zusätzlich zum W3LL-Panel-Phishing-Kit bot Stand August 2023 der Store 16 weitere vollständig personalisierte Tools an, die nahtlos miteinander kompatibel sind und zusammen eine komplette Infrastruktur für BEC-Angriffe abbilden. Diese Tools umfassen SMTP-Sender (PunnySender und W3LL Sender), einen bösartigen Link-Stager (W3LL Redirect), einen Schwachstellen-Scanner (OKELO), ein automatisiertes Werkzeug zur Kontoidentifizierung (CONTOOL), Aufklärungs-Tools und vieles mehr. Alle Artikel sind auf Lizenzbasis erhältlich und kosten zwischen 50 und 350 US-Dollar pro Monat. Darüber hinaus aktualisiert W3LL seine Tools regelmäßig, fügt neue Funktionen hinzu, verbessert die Anti-Erkennungsmechanismen und erstellt neue. Das verdeutlicht, wie wichtig es ist, mit den jüngsten Änderungen ihrer TTPs (Techniken, Taktiken und Prozeduren) auf dem Laufenden zu bleiben.

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.

Phishing W3LL: Die Geografie der Aktivitäten

Die mit W3LL-Tools durchgeführten Phishing-Kampagnen sind äußerst überzeugend und umfassen in der Regel mehrere von W3LL entwickelte Instrumente, die nahezu die gesamte Architektur von BEC-Angriffen abdecken und gleichzeitig ein hohes Maß an Automatisierung und Skalierbarkeit bieten. Nach der Kompromittierung eines Ziels gehen die Bedrohungsakteure zur Phase der Kontoidentifizierung über und können anschließend Datendiebstahl, Betrug mit gefälschten Rechnungen, Identitätsmissbrauch des Kontoinhabers oder Verteilung von Malware unter Verwendung des kompromittierten E-Mail-Kontos begehen. Die Konsequenzen für ein Unternehmen, das einen BEC-Angriff erlitten hat, können über direkte finanzielle Verluste (die von Tausenden bis zu Millionen von US-Dollar hoch sein können) bis zu Datenlecks, Rufschädigung, Schadenersatzansprüchen und sogar Klagen gehen.

Scheme 822x1024 1
BEC-Angriffsschema mit W3LL-Werkzeugen. Bildquelle: Group-IB 2023

Die Forscher von Group-IB identifizierten in den letzten 10 Monaten fast 850 eindeutige Phishing-Webseiten, die dem W3LL Panel zugeordnet werden können. Durch die Analyse von Telegramm-Gruppen und -Chats, die von W3LL kontrolliert werden, sowie der Infrastruktur im Zusammenhang mit den W3LL-Phishing-Kampagnen stellten die Forscher von Group-IB ebenfalls fest, dass im gleichen Zeitraum BEC-Bedrohungsakteure, die W3LL-Tools einsetzten, mindestens 56.000 Microsoft-365-Geschäftskonten angriffen. Über 8.000 (ca. 14,3%) davon wurden letztendlich kompromittiert. Die tatsächliche Anzahl der Opfer und die tatsächlichen Auswirkungen könnten erheblich höher sein. W3LL-Tools sind darauf ausgelegt, Unternehmen unabhängig von ihrer Herkunft ins Visier zu nehmen, aber die meisten identifizierten Ziele sind Organisationen in den USA, Großbritannien, Australien und Europa (Deutschland, Frankreich, Italien, Schweiz, Niederlande). Die am häufigsten angegriffenen Branchen, wie von Group-IB erkannt, sind Fertigung, IT, Finanzdienstleistungen, Beratung, Gesundheitswesen und juristische Dienstleistungen.

unnamed
Aufteilung der Ziele von BEC-Kampagnen per Land und Branche. Bildquelle: 2023

„Was den W3LL Store und seine Produkte wirklich von anderen Untergrund-Marktplätzen abhebt, ist die Tatsache, dass W3LL nicht nur einen Store geschaffen hat, sondern ein komplexes Phishing-Ökosystem mit einem vollständig kompatiblen maßgeschneiderten Werkzeugset, das nahezu die gesamte Kill Chain von BEC-Angriffen abbildet und von Cyberkriminellen aller technischen Kompetenzstufen eingesetzt werden kann“, sagt Camill Cebulla, Vertriebsleiter Europa bei Group-IB. „Die wachsende Nachfrage nach Phishing-Tools hat einen florierenden Untergrundmarkt generiert, der eine steigende Anzahl von Anbietern anzieht. Dieser Wettbewerb treibt kontinuierliche Innovation bei Phishing-Entwicklern an, die die Effizienz der jeweiligen bösartigen Werkzeuge durch neue Funktionen und Ansätze für kriminelle Operationen steigern wollen.“

Der neue Bericht von Group-IB ist hier zum Download verfügbar. Der Bericht enthält eine Liste von Indikatoren für Kompromittierung (IOCs) sowie YARA-Regeln, die zur Suche und Erkennung von W3LL Panel-Phishing-Seiten verwendet werden können.

www.group-ib.com

Anzeige

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.