FBI спільно з поліцією Індонезії ліквідували інфраструктуру масштабної фішингової мережі W3LL, яка використовувалась для крадіжки облікових даних і шахрайських операцій на суму понад 20 мільйонів доларів.
Федеральне бюро розслідувань США разом із Національною поліцією Індонезії провели операцію проти великої фішингової інфраструктури, яка використовувала набір інструментів W3LL. Цю платформу застосовували для масового викрадення облікових даних і спроб шахрайства, загальна сума яких перевищила 20 мільйонів доларів.
У межах розслідування правоохоронці затримали ймовірного розробника сервісу, відомого як GL. Також було вилучено ключові домени, через які працювала схема. У ФБР підкреслили, що ліквідація цієї інфраструктури перекриває один із головних інструментів, яким користувалися кіберзлочинці для отримання доступу до чужих акаунтів.
Сам W3LL був не просто набором для фішингу. Він дозволяв створювати підроблені сторінки входу, які виглядали як справжні сервіси. Жертви вводили свої дані, після чого зловмисники отримували повний контроль над їхніми акаунтами. Доступ до цього інструменту продавали приблизно за 500 доларів.
Фактично йшлося про повноцінну платформу для кіберзлочинності. Користувачі могли не лише розгортати фейкові сайти, а й маскувати їх під легітимні портали, збирати бази контактів і використовувати інші інструменти для атак.
«Це був не просто фішинг, а ціла кіберзлочинна платформа з повним набором послуг», зазначила спеціальна агентка ФБР в Атланті Марло Грем. За її словами, відомство і надалі працюватиме з міжнародними партнерами, щоб зупиняти подібні схеми.
Про W3LL вперше заговорили у вересні 2023 року після розслідування компанії Group-IB. Тоді стало відомо про підпільний маркетплейс W3LL Store, який обслуговував близько 500 кіберзлочинців. Через нього продавали доступ до панелі W3LL Panel та інших інструментів, що використовувалися, зокрема, у схемах компрометації корпоративної пошти.
Дослідники описували W3LL як універсальний сервіс. Він пропонував усе необхідне для атак: від фішингових інструментів і списків розсилок до доступу до вже зламаних серверів. За даними слідства, автор платформи працював щонайменше з 2017 року і раніше створював сервіси для масового розсилання спаму, зокрема PunnySender і W3LL Sender.
Окрім цього, через W3LL Store продавали викрадені облікові дані та доступ до систем, включно з підключеннями через віддалений робочий стіл. Лише за період з 2019 по 2023 рік там реалізували понад 25 тисяч скомпрометованих акаунтів.
Окрему увагу експерти звернули на технічну сторону атак. Платформа була орієнтована переважно на акаунти Microsoft 365 і використовувала метод «зловмисника посередині». Це дозволяло перехоплювати сесійні cookies і обходити багатофакторну автентифікацію.
Згодом дослідники з Sekoia виявили, що інший фішинговий інструмент Sneaky 2FA використовував частину коду W3LL. Це свідчить про те, що навіть після часткового згортання проєкту його технології продовжували жити в інших інструментах.
У ФБР також зазначили, що після закриття W3LL Store у 2023 році операція не зникла. Вона перемістилася в зашифровані месенджери, де інструмент перейменували і продовжили активно продавати. За оцінками, тільки у 2023–2024 роках із його допомогою атакували понад 17 тисяч жертв по всьому світу.
Слідство вважає, що розробник не лише створював інструмент, а й сам збирав і перепродавав доступ до зламаних акаунтів. Це значно розширило масштаби всієї схеми і посилило її вплив.
