Федеральное бюро расследований США (FBI) совместно с Национальной полицией Индонезии провели масштабную операцию по демонтажу инфраструктуры глобальной фишинговой сети, основанной на коммерческом наборе W3LL. По данным правоохранительных органов, через этот инструмент киберпреступники похищали учетные данные тысяч пользователей и пытались совершить мошенничество более чем на 20 миллионов долларов. В ходе операции задержан предполагаемый разработчик платформы, обозначенный как G.L, а также изъят ряд доменных имен и серверов, использовавшихся для атак.
Фишинговый набор W3LL: готовая платформа для кибератак
W3LL представлял собой коммерческий фишинговый набор (phishing kit), который позволял злоумышленникам быстро развертывать поддельные страницы входа, визуально неотличимые от легитимных порталов. Жертвы, вводя логин и пароль на таких страницах, фактически передавали свои данные атакующим, которые получали полный контроль над аккаунтами. Доступ к набору продавался по подписке примерно за 500 долларов, что делало его доступным для широкого круга киберпреступников.
По данным исследователей Group-IB, базирующейся в Сингапуре, W3LL был не просто набором скриптов, а полноценной киберпреступной экосистемой. Операторы управляли подпольным маркетплейсом W3LL Store, обслуживавшим порядка 500 активных злоумышленников. В магазине продавались не только сам фишинговый модуль W3LL Panel, но и дополнительные инструменты для атак на бизнес-почту (BEC), базы адресов для рассылок и доступ к уже скомпрометированным серверам.
FBI отмечает, что через W3LL Store распространялись не только фишинговые инструменты, но и украденные учетные данные и доступ к системам, включая подключения по Remote Desktop (RDP). С 2019 по 2023 год через площадку, по оценкам, было продано более 25 000 взломанных аккаунтов. Сам разработчик W3LL, по данным экспертов, был активен как минимум с 2017 года и ранее создавал спам-инструменты PunnySender и W3LL Sender для массовых почтовых кампаний.
Технические особенности: атаки на Microsoft 365 и обход многофакторной аутентификации
Adversary-in-the-Middle и кража сессионных cookie
Ключевой целевой областью W3LL были корпоративные аккаунты Microsoft 365, которые часто используются для последующих BEC-атак — компрометации деловой переписки с целью хищения денег или коммерческой информации. Как указывает Hunt.io в отчете за март 2024 года, набор активно применял технику adversary-in-the-middle (AiTM). В этом сценарии злоумышленник выступает «посредником» между пользователем и настоящим сайтом: перехватывает трафик, а затем крадет сессионные cookie — специальные файлы, подтверждающие, что пользователь уже прошел аутентификацию.
Благодаря краже этих cookie атакующие могли обойти многофакторную аутентификацию (MFA), даже если жертва вводила одноразовый код или подтверждала вход в приложении. Для компании это означает, что простое внедрение MFA уже недостаточно для защиты от современных фишинговых наборов: требуются дополнительные меры, такие как защита от фишинговых атак в самих механизмах аутентификации (например, аппаратные ключи FIDO2) и мониторинг аномальных сессий.
Эволюция экосистемы W3LL и наследие в других наборах
Французская компания Sekoia в анализе другого фишингового набора, Sneaky 2FA, сообщала, что в нем были обнаружены фрагменты кода, позаимствованные у W3LL Store. Кроме того, в последние годы в обороте неоднократно появлялись «взломанные» (cracked) версии W3LL, что способствовало дальнейшему распространению подходов и инструментов этой платформы за пределами первоначальной инфраструктуры.
По данным FBI, даже после официального закрытия W3LL Store в 2023 году операция продолжилась в новом формате: инструмент был переименован и активно продвигался через зашифрованные мессенджеры. Только с 2023 по 2024 год этот фишинговый набор использовался для атак более чем на 17 000 жертв по всему миру. Разработчик не только предоставлял инструмент, но и самостоятельно собирал доступы к скомпрометированным аккаунтам, перепродавая их другим злоумышленникам и тем самым многократно усиливая ущерб.
Международное взаимодействие правоохранительных органов и уроки для бизнеса
В официальном заявлении FBI подчеркивается, что ликвидация инфраструктуры W3LL лишила киберпреступников одного из ключевых ресурсов для несанкционированного доступа к аккаунтам пользователей. Представитель офиса FBI в Атланте отметил, что речь идет не просто о серии фишинговых писем, а о «полноценной сервисной платформе для киберпреступности», и заявил о намерении продолжать тесное сотрудничество с зарубежными партнерами.
Для организаций этот инцидент — показатель того, насколько профессионализировалась криминальная индустрия фишинга. Использование готовых наборов вроде W3LL позволяет даже малоопытным злоумышленникам проводить сложные атаки с обходом MFA и прицельным взломом корпоративных почтовых систем. Минимизировать риски помогают комплексные меры: обучение сотрудников распознаванию фишинга, внедрение устойчивых к фишингу методов аутентификации (аппаратные ключи, passkeys), строгие политики доступа к почте и облачным сервисам, мониторинг входов по географии и устройствам, а также оперативное реагирование на подозрительные письма и аномальную активность аккаунтов. Регулярный пересмотр стратегии кибербезопасности с учетом эволюции подобных платформ становится критически важным для защиты бизнеса.
