ازW3LL چه می دانید: امپراتوری فیشینگ مخفی BEC کشف شد

یک گزارش جدید جزئیات عملیات W3LL که یک عامل تهدید کننده در پشت یک امپراتوری گسترده فیشینگ است را ارائه می دهد. تهدیدی که به طور گسترده مایکروسافت ۳۶۵ را هدف قرار داده است.
شرکت امنیت سایبری Group-IB (مستقر در سنگاپور)، در این گزارش آورده است: تکامل W3LL که از سال ۲۰۱۷ فعال بوده را دنبال و فاش کرده است که نقش مهمی در به خطر انداختن حساب‌های ایمیل تجاری مایکروسافت ۳۶۵ در شش سال گذشته داشته است.

W3LL یک بازار زیرزمینی مخفی به نام فروشگاه W3LL ایجاد کرده است. این به جامعه بسته ای متشکل از حداقل ۵۰۰ عامل تهدید خدمت می کرد که می توانستند یک کیت فیشینگ سفارشی به نام W3LL Panel را خریداری کنند که برای دور زدن احراز هویت چند عاملی (MFA) طراحی شده بود، همچنین ۱۶ ابزار کاملاً سفارشی دیگر برای حملات در معرض خطر ایمیل تجاری (BEC) در اختیار زیر مجموعه قرار داده بود
محققان Group-IB شناسایی کردند که ابزارهای فیشینگ W3LL برای هدف قرار دادن بیش از ۵۶۰۰۰ حساب شرکتی مایکروسافت ۳۶۵ در ایالات متحده، استرالیا و اروپا در تاریخ بین اکتبر ۲۰۲۲ و ژوئیه ۲۰۲۳ استفاده شده است.
طبق برآوردهای Group-IB، گردش مالی فروشگاه W3LL در ۱۰ ماه گذشته ممکن است به ۵۰۰۰۰۰ دلار رسیده باشد.
یک “کسب و کار” موفق
موفقیت W3LL را می توان در سال ۲۰۱۷ ردیابی کرد، زمانی که آنها W3LL SMTP Sender را ایجاد کردند، ابزاری سفارشی برای هرزنامه های انبوه ایمیل. سپس یک کیت فیشینگ برای هدف قرار دادن حساب های شرکتی مایکروسافت ۳۶۵ نیز توسط آنها توسعه یافت.
Group-IB می‌گوید: «محبوبیت روزافزون این مجموعه با ابزار مناسب، W3LLرا بر آن داشت تا یک بازار مخفی زیرزمینی انگلیسی‌زبان باز کند.
با گذشت زمان، این پلتفرم به یک اکوسیستم BEC کاملاً کافی تبدیل شد که طیف کاملی از خدمات فیشینگ را برای مجرمان سایبری در همه سطوح، از ابزارهای فیشینگ سفارشی گرفته تا موارد تکمیلی مانند لیست‌های پستی و دسترسی به سرورهای در معرض خطر را ارائه می‌دهد.
فروشگاه W3LL حتی “پشتیبانی از مشتری” را از طریق یک سیستم بلیط و یک گفتگوی اینترنتی زنده ارائه می دهد. هکرهای مورد علاقه ای که مهارت کافی برای استفاده از ابزارهای ارائه شده را ندارند، می توانند آموزش های ویدیویی را تماشا کنند.
Group-IB می گوید در حال حاضر فروشگاه W3LL بیش از ۵۰۰ کاربر فعال دارد و تازه واردها برای تبدیل شدن به یک مشتری فروشگاه W3LL، باید توسط اعضای فعلی معرفی شوند ، عامل تهدید نمی خواهد مردم یا مجریان قانون در مورد بازار زیرزمینی چیزی بدانند.
سلاح اصلی W3LL، W3LL Panel، ممکن است به عنوان یکی از پیشرفته‌ترین کیت‌های فیشینگ در نظر گرفته شود که دارای قابلیت‌های API، حفاظت از کد منبع و سایر قابلیت‌های منحصربه‌فرد دشمن است.
طبق گفته Group-IB، پنل W3LL صفحات جعلی متنوعی ندارد و به طور خاص برای به خطر انداختن حساب های مایکروسافت ۳۶۵ طراحی شده است. اما کیت فیشینگ آن به دلیل کارایی بالا، مورد اعتماد حلقه باریکی از مجرمان BEC قرار گرفت.
W3LL یک اشتراک کیت فیشینگ ۳ ماهه را با قیمت ۵۰۰ دلار ارائه می دهد. هزینه ماه های بعدی ۱۵۰ دلار است. علاوه بر این، نهاد مجرمانه به طور منظم ابزارهای خود را به روز می کند، قابلیت های جدیدی را اضافه می کند، مکانیسم های ضد کشف را بهبود می بخشد و موارد جدیدی را ایجاد می کند.

یک مجموعه ابزار برای همه
محققان می گویند که کمپین های فیشینگ شامل ابزارهای W3LL بسیار متقاعد کننده هستند و سطح بالایی از اتوماسیون و مقیاس پذیری را ارائه می دهند.
این گزارش می‌گوید: «پس از به خطر انداختن یک هدف، عوامل تهدید وارد مرحله کشف حساب می‌شوند و سپس ممکن است یکی از سناریوهای زیر را به کار گیرند: سرقت اطلاعات، کلاهبرداری با فاکتور جعلی، جعل هویت مالک حساب، توزیع بدافزار با استفاده از حساب ایمیل در معرض خطر».
عواقب حمله BEC برای یک شرکت می تواند وخیم باشد. ممکن است متحمل خسارات مالی مستقیم، نشت داده ها، آسیب به شهرت، ادعای غرامت و حتی دعاوی شود.

بر اساس گزارش Group-IB، عوامل تهدید BEC با استفاده از ابزارهای W3LL حداقل ۵۶۰۰۰ حساب تجاری شرکت مایکروسافت ۳۶۵ را هدف قرار دادند و بیش از ۸۰۰۰ مورد از آنها در نهایت در معرض خطر قرار گرفتند. اگرچه تأثیر واقعی می تواند به طور قابل توجهی بیشتر باشد.
آنتون اوشاکوف، معاون دپارتمان تحقیقات جرایم فناوری پیشرفته Group-IB در اروپا، می گوید:آنچه واقعاً فروشگاه W3LL و محصولاتش را از دیگر بازارهای زیرزمینی متمایز می‌کند، این واقعیت است که W3LL نه تنها یک بازار، بلکه یک اکوسیستم فیشینگ پیچیده با یک مجموعه ابزار سفارشی کاملاً سازگار ایجاد کرده است که تقریباً کل زنجیره‌ی کشتار BEC را پوشش می‌دهد و می‌تواند توسط مجرمان سایبری استفاده شود. 
در مورد مایکروسافت، کارشناسان اخیراً از عدم شفافیت این شرکت در مورد نقض‌ها، اقدامات امنیتی غیرمسئولانه و آسیب‌پذیری‌ها انتقاد کرده‌اند. گفته می شود که این شرکت مشتریان خود را در معرض خطرات قرار می دهد و آنها را در تاریکی رها می کند.