Singapur merkezli Group-IB’deki araştırmacılar, altı yıllık bir süre boyunca binlerce Microsoft 365 iş e-posta hesabını hedef alan ve ele geçiren bir “kimlik avı imparatorluğu” yürüten, şimdiye kadar az bilinen bir siber suç operasyonunun faaliyetlerini açığa çıkaran önemli bir rapor yayınladı.
W3LL operasyonu olarak adlandırılan operasyon, gizli bir yer altı pazarı olan W3LL Store aracılığıyla çok sayıda özelleştirilmiş kimlik avı kiti dağıttı ve iş e-postası uzlaşma (BEC) saldırılarında uzmanlaşmış en az 500 tehdit aktöründen oluşan yalnızca davetli bir topluluğa hizmet verdi.
BEC saldırıları, saldırganların şirket fonlarına erişimi olan çalışanları hedef aldığı ve onları saldırgana para aktarmaya ikna ettiği, genellikle üst düzey yöneticiler adına müşterilere veya tedarikçilere acil durum ödemeleri yaptıklarına inandırdıkları dolandırıcılıklardır. Bunlar, yılda milyarlarca dolar kazandıran, var olan en yaygın siber tehditlerden biridir.
Group-IB, W3LL araçlarının Ekim 2022 ile 2023 arasında yaklaşık 3.860’ı Birleşik Krallık’ta olmak üzere dünya çapında 56.000’den fazla Microsoft 365 hesabını hedeflemek için kullanıldığını söyledi. Aynı dönemde Group-IB, aracılığıyla satılan 3.800’den fazla öğeyi tespit ettiğini söyledi. Vahşi doğada W3LL Mağazası ve bu yazının yazıldığı sırada orada 12.000’den fazla ürün satıştaydı. W3LL muhtemelen 10 aylık dönemde en az 500.000 $ (400.000 £) net elde etti, ancak bu muhtemelen eksik bir tahmin.
W3LL’yi uzun süredir takip eden araştırmacılar, W3LL’nin kendilerinin (veya kendilerinin) siber suç kariyerine 2017 yılında, bir kimlik avı kiti geliştirip satmadan önce özel bir toplu e-posta spam aracı olan W3LL SMTP Sender’ı piyasaya sürmeleriyle nasıl başladıklarını ortaya çıkardı. kurumsal Microsoft 365 hesaplarını hedeflemek için. Bu alandaki başarı, onları 2018 yılında İngilizce dilindeki gizli pazarlarını açmaya sevk etti; bu pazar, o zamandan bu yana, yukarıda bahsedilen kimlik avı araçlarından e-posta listelerine ve ilk erişime kadar “tüm yelpazeyi” hizmet sunan, kendi kendini idame ettiren bir BEC ekosistemine dönüştü. güvenliği ihlal edilmiş sunuculara.
“W3LL Store’u ve ürünlerini diğer yer altı pazarlarından ayıran şey, W3LL’nin yalnızca bir pazar yeri değil, aynı zamanda BEC’in neredeyse tüm öldürme zincirini kapsayan tamamen uyumlu özel bir araç setine sahip karmaşık bir kimlik avı ekosistemi yaratmasıdır. Group-IB’nin Avrupa Yüksek Teknoloji Suç Soruşturma Departmanı başkan yardımcısı Anton Ushakov, “Bu, tüm teknik beceri seviyelerindeki siber suçlular tarafından kullanılıyor” dedi.
“Kimlik avı araçlarına yönelik artan talep, artan sayıda satıcının ilgisini çeken gelişen bir yeraltı pazarı yarattı” dedi. “Bu rekabet, suç operasyonlarına yönelik yeni özellikler ve yaklaşımlar aracılığıyla kötü amaçlı araçlarının verimliliğini artırmaya çalışan kimlik avı geliştiricileri arasında sürekli yeniliği teşvik ediyor.”
Yeraltı mağazasında bilet sistemi ve canlı web sohbeti gibi özellikler bulunurken, araçları doğru şekilde kullanmak için gerekli becerilere sahip olmayanlar video eğitimlerinden yararlanabilirler. W3LL ayrıca, yönlendirmeler üzerinden %10 komisyon ödeyen bir yönlendirme bonusu planı ve hatta ürünlerini mağazasında satan üçüncü taraf tedarikçilerin elde ettiği karların 70-30’luk bir kısmını bölen bir kanal programı yürütüyor.
Kapalı topluluğa erişebilmek için, yeni kullanıcıların mevcut bir üye tarafından yönlendirilmesi gerekiyor; bu noktada, yeni hesaplarının devre dışı bırakılmasını önlemek için W3LL’ye para yatırmaları için üç günleri olacak. W3LL mağazanın reklamını yapmıyor ve üyeler bu konuda ağızlarını kapalı tutmakla yükümlü.
W3LL iyi iyi
W3LL’nin Microsoft 365 hesaplarını tehlikeye atmak için özel olarak tasarlanan büyük silahı ve ödül projesi W3LL Panel, “dünyadaki en gelişmiş kimlik avı kitlerinden biri olarak kabul edilebilir” [its] Group-IB, ortadaki adam işlevselliği, uygulama programlama arayüzü ve kaynak kodu koruması gibi özellikleri içeren “sınıf” dedi.
W3LL Panel oldukça etkili bir araç ancak bu nedenle kullanımı, güvenilir suçlulardan oluşan dar bir çevreyle sınırlı görünüyor. Üç aylık W3LL Panel aboneliği, aylık 150 ABD Doları tutarındaki ödeme planına geçmeden önce size 500 ABD Doları tutarında geri ödeme sağlayacaktır. Kitin her bir kopyası, jeton tabanlı bir aktivasyon mekanizması yoluyla etkinleştirilmelidir; bu, yeniden satılamayacağı ve kaynak kodunun çalınamayacağı anlamına gelir.
Ağustos 2023 itibarıyla Group-IB, pazarın tamamı birbiriyle uyumlu, tamamıyla özelleştirilmiş 16 araç daha sunduğunu ve bunların toplu olarak tam hizmet BEC kurulumunu oluşturduğunu söyledi. Bunlar arasında SMTP göndericileri PunnySender ve W3LL Sender, bağlantı aşamalandırıcı W3LL Redirect, güvenlik açığı tarayıcısı OKELO, otomatik hesap keşif aracı CONTOOL ve keşif araçları bulunmaktadır. Hepsi lisans esasına göre mevcuttur ve ayda 50 ila 350 ABD Doları arasındadır. İşlevselliği geliştirmek için düzenli olarak güncellenirler.
W3LL araçlarını kullanan kimlik avı kampanyaları “son derece ikna edici” olarak tanımlanıyor ve birden fazla mevcut ürünü içerme eğiliminde. Kurbanlar, tehlikeye atılırsa, veri hırsızlığı, sahte fatura dolandırıcılığı, hesap sahibinin kimliğine bürünme veya kötü amaçlı yazılım dağıtımı gibi çeşitli siber saldırılarla ve bu senaryoların gerektirdiği tüm sonuçlarla karşılaşmayı bekleyebilirler.
Raporun tamamı, Group-IB’nin en az 850’sini gözlemlediğini söylediği W3LL Panel kimlik avı sayfalarını avlamak için güvenlik ekiplerinin kullanabileceği güvenlik ihlali göstergelerinin ve YARA kurallarının bir listesini içeriyor.