{"id":285782,"date":"2023-09-08T15:09:34","date_gmt":"2023-09-08T13:09:34","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=285782"},"modified":"2023-10-24T23:43:28","modified_gmt":"2023-10-24T21:43:28","slug":"w3ll-phishing-kit-kann-multifaktor-authentifizierung-aushebeln-tausende-von-microsoft-365-konten-gekapert","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2023\/09\/08\/w3ll-phishing-kit-kann-multifaktor-authentifizierung-aushebeln-tausende-von-microsoft-365-konten-gekapert\/","title":{"rendered":"W3LL-Phishing Kit kann Multifaktor-Authentifizierung aushebeln; Tausende von Microsoft 365-Konten gekapert"},"content":{"rendered":"

\"Sicherheit[English<\/a>]Der in Singapur angesiedelte Sicherheitsanbieter Group-IB hat die Tage einen Sicherheits-Report ver\u00f6ffentlicht, der auf spezielle Aktivit\u00e4ten einer W3LL genannten Gruppe von Cyberkriminellen hinweist. Die Cybergang hat ein spezielles Phishing-Kit entwickelt, um Microsoft 365-Konten zu kapern und bietet diese Dienstleistung mindestens 500 anderen Cybergangs \u00fcber einen geheimen W3LL Store an. Bisher ist der Anbieter \"unter dem Radar\" der Sicherheitsbeh\u00f6rden gesegelt, weil Kunden nur auf Empfehlung auf die Angeboten zugreifen konnten. Mit den W3LL-Phishing-Tools wurden zwischen Oktober 2022 und Juli 2023 \u00fcber 56.000 Microsoft 365-Konten von Unternehmen in den USA, Australien und Europa angegriffen.<\/p>\n

<\/p>\n

\"\"Ich hatte den Beitrag<\/a> der Kollegen von Bleeping Computer gesehen, bin aber \u00fcber eine pers\u00f6nliche Nachricht auf Facebook ebenfalls auf das Thema hingewiesen worden (danke daf\u00fcr). Der Sicherheitsanbieter Group-IB\u00a0 hat seine Beobachtungen in einem eigenen Bericht W3LL done: uncovering hidden phishing ecosystem driving BEC attacks<\/a> (erfordert eine Registrierung) zusammen getragen, legt in diesem Beitrag<\/a> aber einige Details offen.<\/p>\n

Das W3LL-Phishing-Imperium<\/h2>\n

Bei W3LL handelt es sich um eine Gruppe von Cyberkriminellen, die sich seit sechs Jahren auf das Kompromittierung von Microsoft 365-Konten per Phishing spezialisiert haben. Die Aktivit\u00e4ten gehen bis ins Jahr 2017 zur\u00fcck, die Cyberkriminellen konnten aber bisher unter dem Radar segeln. Damals startete W3LL mit SMTP Sender, einem ma\u00dfgeschneiderten Tool f\u00fcr Massen-E-Mail-Spam. Sp\u00e4ter entwickelte und verkaufte W3LL eine Version des Phishing-Kits, welches auf Microsoft 365-Konten von Unternehmen abzielt.<\/p>\n

Eigener W3LL-Store<\/h3>\n

Scheinbar hatten die Cyberkriminellen Erfolg, denn sie hatten ab 2018 einen eigenen, aber versteckten, Untergrundmarkt mit der Bezeichnung W3LL Store eingerichtet. In diesem Store konnte eine geschlossene Gemeinschaft von mindestens 500 Bedrohungsakteuren ein benutzerdefiniertes Phishing-Kit namens W3LL Panel kaufen. Das Phishing-Kit wurde entwickelt, um die Multifaktor-Authentifizierung (MFA) bei Microsoft 365-Konten zu umgeben. Das Phishing Kit enth\u00e4lt seit August 2023 zudem 16 weitere vollst\u00e4ndig angepasste Tools f\u00fcr BEC-Angriffe (Business Email Compromise).<\/p>\n

Zu diesen Tools geh\u00f6ren SMTP-Versender (PunnySender und W3LL Sender), ein Stager f\u00fcr b\u00f6sartige Links (W3LL Redirect), ein Schwachstellen-Scanner (OKELO), ein automatisiertes Instrument zur Erkennung von Konten (CONTOOL), Aufkl\u00e4rungs-Tools und vieles mehr, schreiben die Sicherheitsforscher. Die Tools sind auf Lizenzbasis erh\u00e4ltlich und kosten zwischen $50 und $350 pro Monat.<\/p>\n

Im Laufe der Zeit hat sich die Plattform zu einem vollwertigen BEC-\u00d6kosystem entwickelt, schreiben die Sicherheitsforscher. Andere Cyberkriminelle k\u00f6nnen dort ein ganzes Spektrum an Phishing-Diensten buchen. Das reichte von benutzerdefinierten Phishing-Tools bis hin zu zus\u00e4tzlichen Angeboten wie Mailinglisten und Zugang zu kompromittierten Servern.<\/p>\n

Kundensupport enthalten<\/h3>\n

Der W3LL Store bietet \u00fcber ein Ticket-System und einen Live-Webchat so etwas wie \"Kundensupport\". Cyberkriminelle ohne die erforderlichen Kenntnisse zur Nutzung der Tools k\u00f6nnen sich Video-Tutorials ansehen, um sich \"weiterzubilden\". W3LL Store hat zudem ein eigenes Empfehlungsbonusprogramm (mit einer Provision von 10 % f\u00fcr Empfehlungen) und ein Wiederverk\u00e4uferprogramm (mit einer Aufteilung von 70\/30 auf die Gewinne, die Drittanbieter mit dem Verkauf \u00fcber W3LL Store erzielen).<\/p>\n

Zugang nur auf Empfehlung<\/h3>\n

Zurzeit hat der W3LL-Store mehr als 500 aktive Nutzer. Wer in den W3LL-Store als Neukunde hinein kommen will, muss von einem bestehenden Mitglied geworben werden. Neue Benutzer haben 3 Tage Zeit, um eine Einzahlung auf ihr Guthaben vorzunehmen, ansonsten wird ihr Konto deaktiviert. Der Entwickler macht keine Werbung f\u00fcr den W3LL-Store und bittet seine Kunden, keine Informationen \u00fcber den Store und den Anbieter im Internet zu verbreiten.<\/p>\n

Erfolgreiche Aktivit\u00e4ten<\/h2>\n

Den Sicherheitsforscher der Group-IB ist aber wohl der Zugang zum W3LL Store gelungen, so dass sie sich ausgiebig umsehen konnten. So ermittelte man \u00fcber 3.800 Artikel, die zwischen Oktober 2022 und Juli 2023 \u00fcber den Marktplatz verkauft wurden. \u00dcber 12.000 Artikel stehen derzeit im Verkauf des W3LL-Store und dessen Umsatz wird f\u00fcr die letzten 10 Monate wurde auf 500.000 US-Dollar gesch\u00e4tzt.<\/p>\n

\"W3LL
\nW3LL BEC Angriffe; Quelle: Group-IB<\/p>\n

Die Ermittler von Group-IB geben an, dass die Phishing-Tools von W3LL verwendet wurden, um zwischen Oktober 2022 und Juli 2023 \u00fcber 56.000 Microsoft 365-Konten von Unternehmen in den USA, Australien und Europa anzugreifen. Obiges Bild zeigt die angegriffenen Branchen und die Regionen. Auch Deutschland findet sich unter den angegriffenen Ziell\u00e4ndern. Die Group-IB hat alle Informationen, die man \u00fcber W3LL gesammelt hat, an die zust\u00e4ndigen Strafverfolgungsbeh\u00f6rden weitergegeben.<\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Der in Singapur angesiedelte Sicherheitsanbieter Group-IB hat die Tage einen Sicherheits-Report ver\u00f6ffentlicht, der auf spezielle Aktivit\u00e4ten einer W3LL genannten Gruppe von Cyberkriminellen hinweist. Die Cybergang hat ein spezielles Phishing-Kit entwickelt, um Microsoft 365-Konten zu kapern und bietet diese Dienstleistung mindestens … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[7263,270,426],"tags":[1171,7377,4328],"class_list":["post-285782","post","type-post","status-publish","format-standard","hentry","category-cloud","category-office","category-sicherheit","tag-cloud","tag-microsoft-365","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/285782","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=285782"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/285782\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=285782"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=285782"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=285782"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}