Cyber Click Day - Richiedi il Voucher Personale per il 16 Aprile Scopri di più
Iscriviti al webinar gratuito del 28 Aprile per diventare Ethical Hacker! Scopri di più
Smantellata la rete W3LL: phishing globale, 20 milioni nel mirino e Microsoft 365 sotto attacco
Una recente operazione congiunta tra FBI e Polizia Nazionale Indonesiana ha portato allo smantellamento di una rete globale di phishing legata a un toolkit pronto all’uso chiamato W3LL. La campagna avrebbe puntato a rubare credenziali di accesso a migliaia di account e a tentare frodi per oltre 20 milioni di dollari, dimostrando quanto le piattaforme di cybercrime possano scalare rapidamente quando offrono strumenti facili da usare e servizi a supporto.
Secondo le informazioni diffuse dalle autorità, l’infrastruttura tecnica utilizzata per il phishing è stata disattivata e diversi domini chiave sono stati sequestrati. Contestualmente è stato fermato il presunto sviluppatore del kit. Il punto centrale del caso è che il takedown non colpisce solo singole campagne, ma interrompe una risorsa riutilizzabile che consente a molti criminali di ottenere accesso non autorizzato agli account delle vittime.
Il kit di phishing W3LL permetteva di creare siti falsi che imitavano pagine di login legittime, inducendo gli utenti a inserire username e password. Il prodotto veniva commercializzato a pagamento, con un prezzo indicativo intorno a 500 dollari, rendendolo accessibile anche ad attori con competenze tecniche limitate. In pratica, non si trattava di semplici email truffa, ma di una piattaforma completa che facilitava l’intero ciclo dell’attacco, dalla raccolta dei dati fino all’uso o alla rivendita degli accessi.
Le analisi di settore avevano già evidenziato come W3LL fosse collegato a un marketplace clandestino, utilizzato da centinaia di attori malevoli per acquistare pannelli di gestione, strumenti dedicati e risorse utili alle frodi di tipo business email compromise. Inoltre, lo store avrebbe favorito la vendita di credenziali rubate e accessi remoti non autorizzati, inclusi collegamenti tramite desktop remoto. Le stime parlano di decine di migliaia di account compromessi messi in vendita in un arco di anni.
Un aspetto particolarmente critico riguarda i bersagli: molte attività risultano focalizzate su credenziali Microsoft 365. In alcuni scenari, tecniche adversary in the middle consentono di intercettare cookie di sessione e aggirare la multi factor authentication, aumentando il rischio anche per organizzazioni che ritengono di essere protette dalla 2FA. Anche dopo la chiusura di canali di vendita precedenti, la distribuzione del kit sarebbe proseguita tramite piattaforme di messaggistica cifrata, con rebranding e promozione continua. Tra 2023 e 2024, il toolkit sarebbe stato usato per colpire oltre 17000 vittime nel mondo.