W3LL phishing kit hijacks thousands of Microsoft 365 accounts, bypasses MFA


Security


Το κιτ phishing W3LL παραβιάζει χιλιάδες λογαριασμούς Microsoft 365, παρακάμπτει το MFA



By

Marizas Dimitris

Ένας παράγοντας απειλών γνωστός ως W3LL ανέπτυξε ένα κιτ ηλεκτρονικού ψαρέματος που μπορεί να παρακάμψει τον έλεγχο ταυτότητας πολλαπλών παραγόντων μαζί με άλλα εργαλεία που έθεσαν σε κίνδυνο περισσότερους από 8.000 εταιρικούς λογαριασμούς Microsoft 365.

Σε δέκα μήνες, ερευνητές ασφαλείας ανακάλυψαν ότι τα βοηθητικά προγράμματα και η υποδομή του W3LL χρησιμοποιήθηκαν για τη δημιουργία περίπου 850

που στόχευαν διαπιστευτήρια για περισσότερους από 56.000 λογαριασμούς Microsoft 365.

Ανάπτυξη της επιχείρησης

Εξυπηρετώντας μια κοινότητα τουλάχιστον 500 εγκληματιών στον

, τα προσαρμοσμένα εργαλεία ηλεκτρονικού “ψαρέματος” του W3LL χρησιμοποιήθηκαν σε επιθέσεις συμβιβασμού για επιχειρήσεις ηλεκτρονικού ταχυδρομείου (BEC) που προκάλεσαν οικονομικές απώλειες εκατομμυρίων δολαρίων ΗΠΑ.

Οι ερευνητές λένε ότι το απόθεμα του W3LL καλύπτει σχεδόν ολόκληρη την αλυσίδα θανάτωσης μιας επιχείρησης BEC και μπορεί να λειτουργήσει από «κυβερνοεγκληματίες όλων των τεχνικών επιπέδων».

Σε μια σημερινή αναφορά, η εταιρεία κυβερνοασφάλειας Group-IB παρέχει λεπτομέρειες σχετικά με το W3LL και πώς έγινε ένας από τους πιο προηγμένους κακόβουλους προγραμματιστές για ομάδες BEC.

Τα πρώτα στοιχεία της δραστηριότητας του W3LL φαίνεται να είναι από το 2017, όταν ο προγραμματιστής άρχισε να προσφέρει ένα προσαρμοσμένο εργαλείο για μαζική αποστολή

που ονομάζεται W3LL SMTP Sender, το οποίο χρησιμοποιήθηκε για

.

Η δημοτικότητα και η επιχειρηματική δραστηριότητα του ηθοποιού άρχισαν να αυξάνονται όταν άρχισε να πουλά ένα προσαρμοσμένο κιτ phishing επικεντρωμένο στους εταιρικούς λογαριασμούς του Microsoft 365.

Το 2018, η W3LL κυκλοφόρησε το W3LL Store της, μια αγγλόφωνη αγορά όπου μπορούσε να προωθήσει και να πουλήσει τα εργαλεία της σε μια κλειστή κοινότητα εγκληματιών του κυβερνοχώρου, λένε οι ερευνητές.

“Το κύριο όπλο του W3LL, το W3LL Panel, μπορεί να θεωρηθεί ένα από τα πιο προηγμένα κιτ phishing στην κατηγορία, με λειτουργίες αντιπάλου στη μέση, API, προστασία πηγαίου κώδικα και άλλες μοναδικές δυνατότητες” –

Group-IB

Οπλοστάσιο W3LL για επιθέσεις BEC

Εκτός από το W3LL Panel, το οποίο σχεδιάστηκε για να παρακάμπτει τον έλεγχο ταυτότητας πολλαπλών παραγόντων (MFA), ο ηθοποιός παρέχει 16 ακόμη εργαλεία, όλα προετοιμασμένα για επιθέσεις BEC. Ο κατάλογος περιλαμβάνει:

  • Αποστολείς SMTP PunnySender και W3LL Sender
  • Ο κακόβουλος σταδιακός σύνδεσμος W3LL Ανακατεύθυνση
  • Ένας σαρωτής ευπάθειας που ονομάζεται OKELO
  • Ένα αυτοματοποιημένο βοηθητικό πρόγραμμα εντοπισμού λογαριασμού που ονομάζεται CONTOOL
  • Ένα πρόγραμμα επικύρωσης email που ονομάζεται LOMPAT

Σύμφωνα με το Group-IB, το W3LL Store προσφέρει λύσεις για την ανάπτυξη μιας επίθεσης BEC από το αρχικό στάδιο της επιλογής θυμάτων, τα θέλγητρα phishing με οπλισμένα συνημμένα (προεπιλογή ή προσαρμοσμένα), έως την εκκίνηση email phishing που καταλήγουν στα εισερχόμενα των θυμάτων.

Οι ερευνητές λένε ότι το W3LL είναι επαρκώς καταρτισμένο για να προστατεύει τα εργαλεία του από τον εντοπισμό ή την κατάργησή τους με την ανάπτυξη και τη φιλοξενία τους σε διακομιστές και υπηρεσίες ιστού που έχουν παραβιαστεί.

Ωστόσο, οι πελάτες έχουν επίσης τη δυνατότητα να χρησιμοποιήσουν τον σαρωτή OKELO του W3LL για να βρουν ευάλωτα συστήματα και να αποκτήσουν πρόσβαση σε αυτά μόνοι τους.

, Το κιτ phishing W3LL παραβιάζει χιλιάδες λογαριασμούς Microsoft 365, παρακάμπτει το MFA, TechWar.gr

BEC επίθεση kill chain χρησιμοποιώντας τα εργαλεία του W3LL



πηγή: Group-IB

Παράκαμψη φίλτρων και παραγόντων ασφαλείας

Μερικές από τις τεχνικές που χρησιμοποιεί το W3LL για να παρακάμψει τα φίλτρα email και τους παράγοντες ασφαλείας περιλαμβάνουν διάφορες μεθόδους συσκότισης για κεφαλίδες email και σώμα κειμένου (Punycode, ετικέτες HTML, εικόνες, συνδέσμους με απομακρυσμένο περιεχόμενο).

Οι αρχικοί σύνδεσμοι phishing παραδίδονται επίσης χρησιμοποιώντας πολλαπλές μεθόδους που αποφεύγουν τον εντοπισμό. Το ένα είναι μέσω των συνημμένων ηλεκτρονικού “ψαρέματος” αντί να τα ενσωματώσετε στο σώμα του ηλεκτρονικού ταχυδρομείου.

Ο σύνδεσμος τοποθετείται σε ένα αρχείο HTML που έρχεται ως συνημμένο, ανακάλυψαν οι ερευνητές. Όταν το θύμα εκκινεί το κακόβουλο HTML, το οποίο θα μπορούσε να μεταμφιεστεί ως έγγραφο ή φωνητικό μήνυμα, ανοίγει ένα παράθυρο του προγράμματος περιήγησης με μια «αυθεντική κινούμενη εικόνα MS Outlook».

Αυτή είναι η σελίδα phishing του πίνακα W3LL έτοιμη να συλλέξει διαπιστευτήρια λογαριασμού Microsoft 365.

Αναλύοντας ένα συνημμένο phishing W3LL που ανακαλύφθηκε στη φύση, το Group-IB παρατήρησε ότι επρόκειτο για ένα αρχείο HTML που εμφάνιζε έναν ιστότοπο σε ένα iframe χρησιμοποιώντας JavaScript ασαφή μέσω της κωδικοποίησης base64.

, Το κιτ phishing W3LL παραβιάζει χιλιάδες λογαριασμούς Microsoft 365, παρακάμπτει το MFA, TechWar.gr

Προσκόλληση phishing W3LL παρατηρήθηκε στη φύση



πηγή: Group-IB

Σε μια νεότερη έκδοση, που ενημερώθηκε στα τέλη Ιουνίου, το W3LL πρόσθεσε πολλαπλά επίπεδα συσκότισης και κωδικοποίησης. Φορτώνει το σενάριο απευθείας από τον πίνακα W3LL αντί να το συμπεριλάβει στον κώδικα HTML.

Η αλυσίδα των γεγονότων για την πιο πρόσφατη παραλλαγή μοιάζει με αυτό:

, Το κιτ phishing W3LL παραβιάζει χιλιάδες λογαριασμούς Microsoft 365, παρακάμπτει το MFA, TechWar.gr

Ενημερώθηκε το συνημμένο phishing W3LL



πηγή: Group-IB

Παραβίαση εταιρικών λογαριασμών Microsoft 365

Ερευνητές Group-IB

εξηγώ

ότι ο αρχικός σύνδεσμος σε ένα δέλεαρ ηλεκτρονικού ψαρέματος δεν οδηγεί στην ψεύτικη σελίδα σύνδεσης του Microsoft 365 στον πίνακα W3LL και είναι μόνο η αρχή μιας αλυσίδας ανακατεύθυνσης που έχει σκοπό να αποτρέψει την ανακάλυψη σελίδων ηλεκτρονικού ψαρέματος του Πίνακα W3LL.

Προκειμένου το W3LL να παραβιάσει έναν λογαριασμό Microsoft 365, χρησιμοποιεί την τεχνική αντίπαλος/άνθρωπος στη μέση (AitM/MitM), όπου η επικοινωνία μεταξύ του θύματος και του διακομιστή Microsoft διέρχεται μέσω του πίνακα W3LL και του W3LL Store που λειτουργεί ως backend. Σύστημα.

Ο στόχος είναι να αποκτήσετε το cookie περιόδου λειτουργίας ελέγχου ταυτότητας του θύματος. Για να συμβεί αυτό, ο πίνακας W3LL πρέπει να περάσει από πολλά βήματα, τα οποία περιλαμβάνουν:

  • Περάστε την επαλήθευση CAPTCHA
  • Ρυθμίστε τη σωστή ψεύτικη σελίδα σύνδεσης
  • Επικυρώστε τον λογαριασμό του θύματος
  • Αποκτήστε την ταυτότητα επωνυμίας του οργανισμού-στόχου
  • Λάβετε τα cookies για τη διαδικασία σύνδεσης
  • Προσδιορίστε τον τύπο λογαριασμού
  • Επικυρώστε τον κωδικό πρόσβασης
  • Λάβετε τον κωδικό πρόσβασης μίας χρήσης (OTP)
  • Αποκτήστε ένα πιστοποιημένο cookie περιόδου λειτουργίας

Αφού ο πίνακας W3LL λάβει το cookie περιόδου λειτουργίας ελέγχου ταυτότητας, ο λογαριασμός παραβιάζεται και εμφανίζεται στο θύμα ένα έγγραφο PDF, ώστε το αίτημα σύνδεσης να φαίνεται νόμιμο.

Στάδιο ανακάλυψης λογαριασμού

Χρησιμοποιώντας το CONTOOL, ο εισβολέας μπορεί να αυτοματοποιήσει την εύρεση email, αριθμών τηλεφώνου, συνημμένων, εγγράφων ή διευθύνσεων URL που χρησιμοποίησε το θύμα, κάτι που θα μπορούσε να βοηθήσει στο στάδιο της πλευρικής κίνησης.

Το εργαλείο μπορεί επίσης να παρακολουθεί, να φιλτράρει και να τροποποιεί τα εισερχόμενα email, καθώς και να λαμβάνει ειδοποιήσεις σε λογαριασμό Telegram με βάση συγκεκριμένες λέξεις-κλειδιά.

Σύμφωνα με το Group-IB, τα τυπικά αποτελέσματα από μια τέτοια επίθεση είναι:

  • Κλοπή δεδομένων
  • Ψεύτικο τιμολόγιο με τα στοιχεία πληρωμής του εισβολέα
  • Μίμηση επαγγελματικών υπηρεσιών για την αποστολή δόλιων αιτημάτων πληρωμής σε πελάτες
  • Κλασική απάτη BEC – πρόσβαση σε ανώτατο στέλεχος και ενεργώντας για λογαριασμό τους για να καθοδηγήσει τους υπαλλήλους να κάνουν τραπεζικά εμβάσματα ή να αγοράσουν αγαθά
  • Διανομή κακόβουλου λογισμικού

Κερδίζοντας χρήματα


Έκθεση του Group-IB

βυθίζεται βαθιά στη λειτουργικότητα του πίνακα W3LL, περιγράφοντας σε τεχνικό επίπεδο πώς λειτουργούν ορισμένες από τις λειτουργίες για την επίτευξη του επιδιωκόμενου στόχου, είτε πρόκειται για αποφυγή εντοπισμού είτε για συλλογή δεδομένων.

Το W3LL Panel είναι η κορωνίδα του προγραμματιστή και κοστίζει 500 $ για τρεις μήνες και 150 $ μηνιαία τιμή ανανέωσης. Πρέπει επίσης να αγοραστεί μια άδεια για την ενεργοποίησή του.

Ακολουθεί η σελίδα αγοράς για το κιτ και ο πίνακας διαχείρισης:

, Το κιτ phishing W3LL παραβιάζει χιλιάδες λογαριασμούς Microsoft 365, παρακάμπτει το MFA, TechWar.gr

W3LL Store και διαχείριση πίνακα W3LL



πηγή: Group-IB

Ο ηθοποιός απειλών W3LL υπάρχει εδώ και περίπου πέντε χρόνια και συγκέντρωσε μια πελατειακή βάση με περισσότερους από 500 εγκληματίες στον κυβερνοχώρο που έχουν στο κατάστημα πάνω από 12.000 είδη για να διαλέξετε.

Εκτός από το ηλεκτρονικό ψάρεμα και τα εργαλεία που σχετίζονται με το BEC, το W3LL παρέχει επίσης πρόσβαση σε παραβιασμένες υπηρεσίες ιστού (ιστό κέλυφος, ηλεκτρονικό ταχυδρομείο, συστήματα διαχείρισης περιεχομένου) και διακομιστές SSH και RDP, λογαριασμούς φιλοξενίας και υπηρεσιών cloud, επαγγελματικούς τομείς email, λογαριασμούς VPN και παραβιασμένους λογαριασμούς email .

Οι ερευνητές του Group-IB λένε ότι μεταξύ Οκτωβρίου 2022 και Ιουλίου 2023, η W3LL πούλησε περισσότερα από 3.800 αντικείμενα, με εκτιμώμενο τζίρο που υπερβαίνει τα 500.000 $.



bleepingcomputer.com


Παρόμοια άρθρα



Η Amazon συμμετέχει στην Google για να…




Η Google ζητά από την CMA του Ηνωμένου Βασιλείου…




Η εφαρμογή αφήγησης AI της Microsoft επεκτείνεται…




Η Microsoft αποκαλύπτει ότι η εφαρμογή Outlook…






BEC


cloud


microsoft


Microsoft 365


OTP


Outlook


phishing


telegram






Marizas Dimitris



79453 posts


10 comments

Αφοσιωμένος λάτρης κινητών Samsung, ο Δημήτρης έχει εξελίξει μια ιδιαίτερη σχέση με τα προϊόντα της εταιρίας, εκτιμώντας τον σχεδιασμό, την απόδοση και την καινοτομία που προσφέρουν.

Γράφοντας και διαβάζοντας τεχνολογικά νέα από όλο τον κόσμο.



You might also like




More from author


Leave A Reply



Cancel Reply

Your email address will not be published.