El FBI y las fuerzas de seguridad de Indonesia desmantelaron el pasado viernes la herramienta de phishing W3LL, incautando la infraestructura utilizada para facilitar el robo de credenciales a gran escala. La operación incluyó la detención del presunto desarrollador de la plataforma en Indonesia y la confiscación de varios dominios críticos.
El kit W3LL permitía a los hackers desplegar portales de inicio de sesión falsos por un precio aproximado de 500 dólares. Estos sitios estaban diseñados específicamente para capturar credenciales de usuario y eludir la autenticación de múltiples factores (MFA), lo que permitía a los atacantes mantener un acceso persistente a las cuentas objetivo.
"Esto no era simplemente phishing; era una plataforma de cibercrimen con todos los servicios incluidos", afirmó Marlo Graham, agente especial a cargo de la oficina del FBI en Atlanta.
Según el FBI, el conjunto de herramientas contaba con el respaldo de un mercado en línea conocido como W3SSSTORE. Entre 2019 y 2023, este mercado publicitaba la venta de más de 25,000 cuentas comprometidas. La agencia estima que estas actividades permitieron a los delincuentes intentar transacciones fraudulentas por un valor superior a los 20 millones de dólares.
El impacto global del ecosistema W3LL
Investigadores de ciberseguridad de Group IB identificaron que el ecosistema W3LL servía a una comunidad cerrada de al menos 500 actores de amenazas. Además del Panel W3LL, el desarrollador ofrecía otras 16 herramientas personalizadas, diseñadas específicamente para ataques de compromiso de correo electrónico empresarial (BEC).
Los investigadores de Group-IB descubrieron que las herramientas atacaron a más de 56,000 cuentas corporativas de Microsoft 365 en Estados Unidos, el Reino Unido, Australia y Europa entre octubre de 2022 y julio de 2023. Los expertos señalaron que las ganancias de W3LL probablemente alcanzaron los 500,000 dólares en un periodo de 10 meses.
Aunque W3LLSTORE cerró oficialmente en 2023, el FBI declaró que las herramientas siguieron comercializándose a través de plataformas de mensajería cifrada. Entre 2023 y 2024, el kit se utilizó en ataques contra otros 17,000 víctimas a nivel mundial.
El FBI identificó al desarrollador, conocido únicamente como G.L., como alguien que recolectaba y revendía personalmente el acceso a las cuentas comprometidas. Esta acción de control se suma a otras intervenciones recientes de alto perfil por parte del FBI, incluyendo la incautación de los foros de cibercrimen Leakbase y RAMP, así como una operación conjunta con la policía nigeriana para arrestar al desarrollador detrás del kit de phishing RaccoonO365.
