Le kit de phishing W3LL utilisé pour cibler des milliers de comptes Microsoft 365
W3LL, c'est le nom du nouvel empire secret du phishing qu'ont découvert des chercheurs en sécurité ! Accessible via Telegram, il permet aux cybercriminels d'accéder à des outils redoutables pour mener des attaques de phishing.
Les chercheurs en sécurité de GROUP-IB ont mis en ligne un rapport au sujet de ce groupe consacré au phishing et nommé W3LL. Premier constat : au cours des 6 dernières années, W3LL a ajouté un rôle majeur dans la compromission de comptes de messagerie Microsoft 365.
Derrière W3LL se cache une importante communauté d'au moins 500 cybercriminels, ainsi que le W3LL Store à partir duquel on peut louer les outils malveillants, dont le W3LL Panel qui est un kit de phishing prêt à l'emploi, capable de contourner le MFA, ainsi que 16 autres outils malveillants.
Il s'agit clairement d'un service de type Phishing-as-a-Service (PhaaS) accessible en l'échange d'un abonnement. Pour trois mois, l'abonnement est facturé 500 dollars. Du côté de Group-IB, ont estime le chiffre d'affaires de la boutique à 500 000 dollars au cours des 10 derniers mois. Ces outils sont conçus pour effectuer des attaques dans un but précis : BEC pour Business Email Compromise, ou la compromission de messagerie d'entreprise en français.
Ce qui distingue W3LL, c'est qu'il y a un véritable écosystème pour mener des attaques de phishing de A à Z, avec tous les outils nécessaires notamment pour collecter des adresses e-mails Microsoft 365 valides, sans avoir besoin de compétences techniques très élevées.
Des victimes partout dans le monde, y compris en France
Cette popularité se traduit par de nombreuses cyberattaques et la cible privilégiée semble être les comptes Microsoft 365 des professionnels. Dans le rapport de Group-IB, on peut lire : "Les enquêteurs de Group-IB ont identifié que les outils de phishing de W3LL ont été utilisés pour cibler plus de 56 000 comptes Microsoft 365 d'entreprises aux États-Unis, en Australie et en Europe entre octobre 2022 et juillet 2023." - Sur ce total, il y aurait eu au moins 8 000 comptes compromis.
En Europe, plusieurs pays sont ciblés, notamment l'Allemagne, l'Italie, les Pays-Bas, la Suisse et la France qui représente 2.1% des victimes identifiées. De manière générale, les cybercriminels ciblent, les industries, les entreprises du secteur de l'IT, les services financiers, les cabinets de conseils, mais aussi les établissements de santés et les services juridiques.
