Si chiama W3LL una delle operazioni criminali più importanti della storia recente, che dimostra con i fatti la pervasività e la potenzialità dell’industrializzazione del cybercrime. A scoprire il brand W3LL e l’impero a cui fa capo sono state le divisioni di threat intelligence e di cyber investigation di Group-IB, che monitorando i movimenti degli affiliati hanno fatto emergere informazioni inedite sul threat actor che tira i fili di un impero del phishing finora ampiamente sconosciuto. Tutti i dettagli sono contenuti nel report intitolato W3LL done: Hidden phishing ecosystem driving BEC attacks.

Chi è W3LL

Il nome W3LL è molto conosciuto nel darkweb per essere produttore e venditore di uno dei kit di phishing più avanzati della sua categoria poiché dotato di funzionalità “adversary-in-the-middle” (AitM), API, protezione del codice sorgente e altre caratteristiche uniche. Indagando, gli esperti hanno scoperto che l’organizzazione ha svolto un ruolo importante nella compromissione di account aziendali di posta elettronica di Microsoft 365 negli ultimi 6 anni.

Ma partiamo dall’inizio. La carriera criminale di W3LL inizia nel 2017, quando i suoi autori propongono nel darkweb W3LL SMTP Sender, uno strumento personalizzato per l’invio di massa di mail di spam. L’idea ha funziona, arriva il kit di phishing che mirava agli account aziendali di Microsoft 365. La comodità del set di strumenti ne decreta un grande successo, spingendo gli ideatori ad aprire, nel 2018, il W3LL Store.

Lo strumento

Il kit di phishing personalizzato si chiama W3LL Panel ed è progettato per eludere l’autenticazione a più fattori (MFA). Può essere considerato uno dei kit di phishing più avanzati della sua categoria poiché dotato di funzionalità “adversary-in-the-middle” (AitM), API, protezione del codice sorgente e altre caratteristiche uniche.

Da agosto 2023, oltre al kit di phishing W3LL Panel, lo store offre altri 16 strumenti totalmente personalizzati e compatibili tra loro. Insieme costituiscono un setup completo per attacchi BEC. Questi strumenti includono Sender SMTP (PunnySender e W3LL Sender), uno stager di link dannosi (W3LL Redirect), uno scanner delle vulnerabilità (OKELO), uno strumento automatizzato per l’individuazione di account (CONTOOL), strumenti di ricognizione e molto altri.

W3LL propone il prodotto in abbonamento per 3 mesi a 500 dollari. I mesi successivi costano 150 dollari ciascuno. Ogni copia del W3LL Panel deve essere abilitata attraverso un meccanismo di attivazione basato su token, che impedisce la rivendita del kit o il furto del codice sorgente. W3LL aggiorna regolarmente i suoi strumenti, aggiungendo nuove funzionalità, migliorando i meccanismi anti-rilevazione e creandone di nuovi, il che sottolinea l’importanza di tenersi aggiornati sulle più recenti modifiche delle loro TTP (tattiche, tecniche, procedure).

I ricercatori di Group-IB hanno identificato circa 850 siti web di phishing unici attribuibili a W3LL Panel negli ultimi 10 mesi. Analizzando i gruppi e le chat di Telegram controllati da W3LL, nonché l’infrastruttura legata alle campagne di phishing di W3LL, i ricercatori di Group-IB hanno stabilito che, nello stesso periodo, i cybercriminali che hanno condotto campagne BEC utilizzando gli strumenti di W3LL hanno preso di mira almeno 56.000 account aziendali di Microsoft 365 di cui oltre 8.000 (circa il 14,3%) stati compromessi.

Il numero effettivo di vittime e l’impatto finale potrebbero essere significativamente più elevati. Gli strumenti di W3LL sono progettati per colpire le aziende indipendentemente dalla loro collocazione geografica. Tuttavia, la maggior parte dei target identificati sono organizzazioni negli Stati Uniti, nel Regno Unito, in Australia e in Europa (Germania, Francia, Italia, Svizzera, Olanda). I comparti più frequentemente presi di mira, come identificati da Group-IB, sono l’industria manifatturiera, IT, servizi finanziari, servizi di consulenza, assistenza sanitaria e servizi legali.

Il negozio online

Il negozio, in lingua inglese, apre nel 2018. Si chiama W3LL Store e serve una comunità chiusa di almeno 500 utenti attivi, per accedere alla quale è necessario essere raccomandati da membri esistenti. I nuovi utenti hanno tre giorni per depositare fondi sul loro conto, pena la disattivazione dell’account. Lo sviluppatore non pubblicizza il W3LL Store e chiede ai propri clienti di astenersi dal diffondere notizie online al riguardo. Group-IB ha identificato oltre 3.800 articoli venduti tramite la piattaforma tra ottobre 2022 e luglio 2023. Al momento lo store commercializza oltre 12.000 articoli. Il fatturato del W3LL Store degli ultimi 10 mesi è stato stimato in 500.000 dollari.

Esattamente come nel mondo legale, il prodotto da solo ha poco valore: serve anche il servizio ad esso connesso. Ed ecco che il W3LL Store eroga anche servizi di “supporto alla clientela” tramite un sistema di ticketing e una chat web in diretta. I criminali informatici che non hanno le competenze necessarie per utilizzare gli strumenti possono guardare tutorial video. Il W3LL Store è anche dotato di un proprio programma di incentivi per le intermediazioni (con una commissione del 10% sui clienti suggeriti) e consente a terze parti di commercializzare i propri prodotti sulla sua piattaforma (in questo caso W3LL percepisce una commissione del 30%).

Tutte le informazioni su W3LL raccolte dagli investigatori informatici di Group-IB sono state condivise con le Forze dell’Ordine. Sulla pagina ufficiale del report sono riportati anche gli Indicatori di Compromissione (IOC) e regole YARA che possono essere utilizzate per individuare le pagine di phishing create con W3LL Panel.