W3LL, un empire secret du phishing, vient d'être débusqué

Un nouveau supermarché du phishing a été découvert par les chercheurs. Baptisé W3LL, cet empire secret accessible sur Telegram, permet d’acheter des outils de piratage redoutables. Grâce à ces armes, des hackers ont pu orchestrer une foule d’attaques visant des entreprises…

Les chercheurs en cybersécurité de Group-IB ont identifié un immense empire cybercriminel consacré au phishing, W3LL. Celui-ci s’est surtout spécialisé dans les attaques de compromission de messagerie d’entreprise (BEC, pour « Business Email Compromise » en anglais).

Ce type d’offensives vise à berner les employés d’une entreprise en se faisant passer pour un responsable. Par le biais d’une adresse factice et de mails frauduleux, les pirates cherchent à convaincre leurs cibles d’effectuer des transferts d’argent vers des comptes bancaires sous leur contrôle. Bien souvent, les attaquants souhaitent aussi aspirer une grande quantité d’informations sensibles. Le FBI estime que les attaques BEC représentent la « deuxième plus grande menace cybercriminelle » du monde, avec des pertes totalisant 2,7 milliards de dollars aux États-Unis en 2022.

À lire aussi : attention, les hackers profitent de la rentrée pour piéger les étudiants

Un acteur majeur du monde du phishing

L’essor de ce type d’attaques repose en grande partie sur les outils mis à disposition dans le cadre d’un abonnement de Phishing-as-a-Service (PhaaS). Ce type d’offres permet à un pirate avec peu de connaissances techniques de déployer des attaques efficaces et sophistiquées. Il lui suffit de régler le coût d’un abonnement pour obtenir un accès à un arsenal de logiciels, de services et de plateformes taillés pour l’hameçonnage. Cette tendance « attire de plus en plus de criminels » vers le phishing, indique Group-IB dans un rapport partagé avec 01Net.

Parmi les écosystèmes proposant des logiciels pour le phishing, on trouve W3LL. Active depuis 2017, la plateforme criminelle a été découverte par les chercheurs de Group-IB l’année dernière lors du piratage d’une compagnie aérienne. La boutique en ligne W3LL, accessible sur des canaux Telegram, commercialise une vaste sélection « d’outils de phishing très efficaces » pour piéger les sociétés. Il s’agit d’un « acteur majeur dans le domaine du phishing », comme l’était par exemple 16shop, le supermarché du phishing démantelé par Interpol.

Des comptes Microsoft dans le viseur des pirates

Les experts ont notamment découvert un kit de phishing complet destiné à compromettre des comptes Microsoft Office 365, des scripts/applications pour l’envoi massif de mails de phishing (de 65 à 180 dollars par mois) et des logiciels de collecte de courriels, d’URL, de numéros de téléphone et de documents (550 dollars pour 3 mois). D’après Group-IB, le kit ciblant Microsoft Office 365, baptisé W3LL Panel OV6, est l’arme principale des cybercriminels de W3LL.

Les pirates en herbe peuvent aussi mettre la main sur des détecteurs de vulnérabilités en contactant les vendeurs sur Telegram. Grâce à ce riche catalogue d’outils, W3LL aurait généré 500 000 dollars au cours des 10 derniers mois. Ces logiciels malveillants sont massivement utilisés par les cybercriminels. Après enquête, la société de cybersécurité estime qu’environ 500 hackers, ou groupes de hackers, exploitent ces outils pour le moment. Avec ceux-ci, les pirates se sont attaqués à 56 000 comptes Microsoft 365 d’entreprises entre octobre 2022 et juillet 2023.

Au terme des attaques, 8 000 comptes ont effectivement été compromis sur la période. Par ailleurs, les enquêteurs ont repéré « au moins 858 sites web de phishing » mis au point avec les outils vendus sur W3LL. Les entreprises ciblées se trouvent aux États-Unis, au Royaume-Uni, en Australie et en Europe (Allemagne, France, Italie, Suisse, Pays-Bas).

Un mode opératoire bien précis

Les cybercriminels qui se servent des kits de W3LL suivent un mode opératoire bien défini. Dans un premier temps, ils s’appuient sur outil capable de surveiller et de retrouver des comptes Microsoft Office 365 valides. Ce logiciel collecte par ailleurs les adresses mail, les URL et les numéros de téléphone à partir des contacts et des conversations des précédentes victimes. Les pirates envoient alors des e-mails de phishing en masse aux cibles. Ces courriels frauduleux contiennent un lien menant à une page de phishing, conçue par leurs soins. C’est là que les escrocs arrivent à leurs fins…

« Les campagnes de phishing impliquant les outils W3LL sont très convaincantes », note Group-IB.

Une fois qu’un compte est tombé sous leur contrôle, les pirates disposent d’une pléthore de possibilités pour dégager des bénéfices de l’opération. Ils peuvent par exemple usurper l’identité du propriétaire du compte pour propager des malwares ou s’emparer des données confidentielles de l’entreprise. Ces données peuvent être revendues ou négociées contre une rançon. Le montant de l’abonnement initial est donc rapidement remboursé.