Федеральне бюро розслідувань США спільно з Національною поліцією Індонезії провели масштабну операцію проти глобальної фішингової інфраструктури, побудованої навколо комерційного набору W3LL. Правоохоронці повідомляють, що за допомогою цієї платформи кіберзлочинці викрадали облікові дані тисяч користувачів і намагалися здійснити шахрайські операції сумарно більш ніж на 20 млн доларів США. У ході операції затримано ймовірного розробника сервісу, зазначеного як G.L, а також конфісковано низку доменних імен та серверів, задіяних в атаках.
Фішинговий набір W3LL як сервіс: готова екосистема для кібершахрайства
W3LL позиціонувався як комерційний фішинговий набір (phishing kit), що надавав клієнтам можливість швидко розгортати фальшиві сторінки входу, максимально схожі на легітимні корпоративні портали. Вводячи логін і пароль, жертви фактично передавали свої дані атакуючим, які отримували повний доступ до облікових записів. Доступ до набору надавався за передплатною моделлю орієнтовно за 500 доларів, що суттєво знижувало поріг входу для кіберзлочинців різного рівня підготовки.
За даними аналітиків Group-IB, W3LL був не просто серією скриптів, а повноцінною кримінальною екосистемою. Оператори підтримували підпільний маркетплейс W3LL Store, де обслуговувалося близько 500 активних учасників. На цій платформі продавалися не лише основний модуль W3LL Panel, а й додаткові інструменти для атак типу Business Email Compromise (BEC), цільові бази email-адрес та доступ до вже скомпрометованих серверів.
FBI зазначає, що через W3LL Store розповсюджувались не тільки інструменти для фішингу, а й вкрадені облікові дані та доступи до систем, включно з підключеннями по Remote Desktop Protocol (RDP). У період з 2019 по 2023 рік через цей майданчик було реалізовано понад 25 000 зламаних акаунтів. Сам розробник W3LL діяв щонайменше з 2017 року, створюючи раніше спам-інструменти PunnySender та W3LL Sender для масових розсилок.
Техніка атак W3LL: Microsoft 365, AiTM та обхід багатофакторної автентифікації
Adversary-in-the-Middle та викрадення сесійних cookie
Основною ціллю W3LL були корпоративні облікові записи Microsoft 365, які часто стають відправною точкою для BEC-атак – компрометації ділового листування з подальшим викраденням коштів або чутливої інформації. Як вказує Hunt.io у звіті за березень 2024 року, W3LL активно використовував техніку adversary-in-the-middle (AiTM).
У сценарії AiTM зловмисник виступає «посередником» між користувачем і справжнім сайтом: перехоплює трафік, ретранслює запити до реального ресурсу, але одночасно записує сесійні cookie — спеціальні файли, які підтверджують, що користувач уже пройшов автентифікацію. Отримавши ці cookie, атакуючий може увійти в обліковий запис без повторного введення пароля та одноразового коду.
Таким чином W3LL дозволяв обходити багатофакторну автентифікацію (MFA), навіть якщо жертва підтверджувала вхід через SMS, push-сповіщення або додаток-аутентифікатор. Для організацій це означає, що формальне впровадження MFA більше не є достатнім бар’єром проти сучасних фішингових платформ.
Поширення коду W3LL та «спадщина» в інших фішингових наборах
Французька компанія Sekoia, аналізуючи інший фішинговий набір Sneaky 2FA, виявила в ньому фрагменти коду, запозичені з W3LL Store. Додатково на підпільних форумах неодноразово з’являлися «зламані» (cracked) версії W3LL, що сприяло подальшому розповсюдженню підходів і технік цієї платформи поза оригінальною інфраструктурою.
За інформацією FBI, навіть після формального закриття W3LL Store у 2023 році діяльність не припинилась: інструмент було перейменовано та почали активно просувати через зашифровані месенджери. Лише з 2023 по 2024 рік цей фішинговий набір застосовувався в атаках на більш ніж 17 000 жертв по всьому світу. Розробник не тільки продавав сам інструмент, а й самостійно акумулював доступи до скомпрометованих акаунтів із подальшим їх перепродажем іншим зловмисникам, що кратно збільшувало сукупний збиток.
Міжнародна координація та висновки для корпоративної кібербезпеки
У своєму офіційному повідомленні FBI наголошує, що демонтаж інфраструктури W3LL позбавив кіберзлочинців одного з ключових інструментів для несанкціонованого доступу до акаунтів користувачів. Представники бюро підкреслюють, що йдеться не про окремі фішингові кампанії, а про «сервісну платформу кіберзлочинності», і заявляють про готовність і надалі розвивати міжнародну співпрацю у сфері кібербезпеки.
Для бізнесу інцидент із W3LL є показовим маркером професіоналізації фішингової індустрії. Навіть відносно малодосвідчений зловмисник, купуючи готовий набір, отримує можливість проводити технічно складні атаки на Microsoft 365, обходити MFA та реалізовувати BEC-схеми. Мінімізувати ризики допомагають комплексні заходи: регулярне навчання персоналу розпізнаванню фішингу, впровадження стійких до фішингу методів автентифікації (апаратні ключі FIDO2, passkeys), жорсткі політики доступу до пошти й хмарних сервісів, моніторинг географії та пристроїв входу, а також оперативне реагування на підозрілі листи й аномальну активність акаунтів.
Події навколо W3LL демонструють, що платформи «фішинг як сервіс» швидко еволюціонують і легко відроджуються під новими брендами. Компаніям критично важливо не обмежуватися формальними вимогами безпеки, а періодично переглядати стратегію захисту з урахуванням нових тактик зловмисників, тестувати ефективність захисних механізмів і інвестувати в підвищення кіберграмотності співробітників. Саме поєднання технологій, процесів і навчання дає змогу суттєво знизити ймовірність успішних фішингових атак на корпоративну інфраструктуру.
