W3LL-Phishing Kit kann Multifaktor-Authentifizierung aushebeln; Tausende von Microsoft 365-Konten gekapert

Sicherheit (Pexels, allgemeine Nutzung)[English]Der in Singapur angesiedelte Sicherheitsanbieter Group-IB hat die Tage einen Sicherheits-Report veröffentlicht, der auf spezielle Aktivitäten einer W3LL genannten Gruppe von Cyberkriminellen hinweist. Die Cybergang hat ein spezielles Phishing-Kit entwickelt, um Microsoft 365-Konten zu kapern und bietet diese Dienstleistung mindestens 500 anderen Cybergangs über einen geheimen W3LL Store an. Bisher ist der Anbieter "unter dem Radar" der Sicherheitsbehörden gesegelt, weil Kunden nur auf Empfehlung auf die Angeboten zugreifen konnten. Mit den W3LL-Phishing-Tools wurden zwischen Oktober 2022 und Juli 2023 über 56.000 Microsoft 365-Konten von Unternehmen in den USA, Australien und Europa angegriffen.


Anzeige

Ich hatte den Beitrag der Kollegen von Bleeping Computer gesehen, bin aber über eine persönliche Nachricht auf Facebook ebenfalls auf das Thema hingewiesen worden (danke dafür). Der Sicherheitsanbieter Group-IB  hat seine Beobachtungen in einem eigenen Bericht W3LL done: uncovering hidden phishing ecosystem driving BEC attacks (erfordert eine Registrierung) zusammen getragen, legt in diesem Beitrag aber einige Details offen.

Das W3LL-Phishing-Imperium

Bei W3LL handelt es sich um eine Gruppe von Cyberkriminellen, die sich seit sechs Jahren auf das Kompromittierung von Microsoft 365-Konten per Phishing spezialisiert haben. Die Aktivitäten gehen bis ins Jahr 2017 zurück, die Cyberkriminellen konnten aber bisher unter dem Radar segeln. Damals startete W3LL mit SMTP Sender, einem maßgeschneiderten Tool für Massen-E-Mail-Spam. Später entwickelte und verkaufte W3LL eine Version des Phishing-Kits, welches auf Microsoft 365-Konten von Unternehmen abzielt.

Eigener W3LL-Store

Scheinbar hatten die Cyberkriminellen Erfolg, denn sie hatten ab 2018 einen eigenen, aber versteckten, Untergrundmarkt mit der Bezeichnung W3LL Store eingerichtet. In diesem Store konnte eine geschlossene Gemeinschaft von mindestens 500 Bedrohungsakteuren ein benutzerdefiniertes Phishing-Kit namens W3LL Panel kaufen. Das Phishing-Kit wurde entwickelt, um die Multifaktor-Authentifizierung (MFA) bei Microsoft 365-Konten zu umgeben. Das Phishing Kit enthält seit August 2023 zudem 16 weitere vollständig angepasste Tools für BEC-Angriffe (Business Email Compromise).

Zu diesen Tools gehören SMTP-Versender (PunnySender und W3LL Sender), ein Stager für bösartige Links (W3LL Redirect), ein Schwachstellen-Scanner (OKELO), ein automatisiertes Instrument zur Erkennung von Konten (CONTOOL), Aufklärungs-Tools und vieles mehr, schreiben die Sicherheitsforscher. Die Tools sind auf Lizenzbasis erhältlich und kosten zwischen $50 und $350 pro Monat.


Anzeige

Im Laufe der Zeit hat sich die Plattform zu einem vollwertigen BEC-Ökosystem entwickelt, schreiben die Sicherheitsforscher. Andere Cyberkriminelle können dort ein ganzes Spektrum an Phishing-Diensten buchen. Das reichte von benutzerdefinierten Phishing-Tools bis hin zu zusätzlichen Angeboten wie Mailinglisten und Zugang zu kompromittierten Servern.

Kundensupport enthalten

Der W3LL Store bietet über ein Ticket-System und einen Live-Webchat so etwas wie "Kundensupport". Cyberkriminelle ohne die erforderlichen Kenntnisse zur Nutzung der Tools können sich Video-Tutorials ansehen, um sich "weiterzubilden". W3LL Store hat zudem ein eigenes Empfehlungsbonusprogramm (mit einer Provision von 10 % für Empfehlungen) und ein Wiederverkäuferprogramm (mit einer Aufteilung von 70/30 auf die Gewinne, die Drittanbieter mit dem Verkauf über W3LL Store erzielen).

Zugang nur auf Empfehlung

Zurzeit hat der W3LL-Store mehr als 500 aktive Nutzer. Wer in den W3LL-Store als Neukunde hinein kommen will, muss von einem bestehenden Mitglied geworben werden. Neue Benutzer haben 3 Tage Zeit, um eine Einzahlung auf ihr Guthaben vorzunehmen, ansonsten wird ihr Konto deaktiviert. Der Entwickler macht keine Werbung für den W3LL-Store und bittet seine Kunden, keine Informationen über den Store und den Anbieter im Internet zu verbreiten.

Erfolgreiche Aktivitäten

Den Sicherheitsforscher der Group-IB ist aber wohl der Zugang zum W3LL Store gelungen, so dass sie sich ausgiebig umsehen konnten. So ermittelte man über 3.800 Artikel, die zwischen Oktober 2022 und Juli 2023 über den Marktplatz verkauft wurden. Über 12.000 Artikel stehen derzeit im Verkauf des W3LL-Store und dessen Umsatz wird für die letzten 10 Monate wurde auf 500.000 US-Dollar geschätzt.

W3LL BEC sttacks
W3LL BEC Angriffe; Quelle: Group-IB

Die Ermittler von Group-IB geben an, dass die Phishing-Tools von W3LL verwendet wurden, um zwischen Oktober 2022 und Juli 2023 über 56.000 Microsoft 365-Konten von Unternehmen in den USA, Australien und Europa anzugreifen. Obiges Bild zeigt die angegriffenen Branchen und die Regionen. Auch Deutschland findet sich unter den angegriffenen Zielländern. Die Group-IB hat alle Informationen, die man über W3LL gesammelt hat, an die zuständigen Strafverfolgungsbehörden weitergegeben.


Anzeige

Dieser Beitrag wurde unter Cloud, Office, Sicherheit abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

9 Antworten zu W3LL-Phishing Kit kann Multifaktor-Authentifizierung aushebeln; Tausende von Microsoft 365-Konten gekapert

  1. Pau1 sagt:

    Hab ich jetzt überlesen wie das Austricksen der MFA erfolgt und wie man das verhindern kann?
    Das sieht für mich wie eine Pressemitteilung von W3LL aus. Es wird nur beschrieben wie gut und erfolgreich sie sind und das jedermann min die tollen Toolkits mieten und nutzen kann.

    • JohnRipper sagt:

      Ja die entscheidende Information fehlt.

      • Luzifer sagt:

        Details stehen in den weiterführenden Links und da auch erst in Weiterführenden Links… aber auch nix Neues sondern Altbekanntes, lediglich das man das da praktisch aus "einem Shop" alles buchen kann ist bemerkenswert!

        Tja wenn sich unsere Politiker und Wirtschaftsunternehmen doch mal ein Scheibchen von den "Phösen" abschaun würden täte es auch mit der Digitalisierung klappen, anstatt nur rumzustümpern.

      • Günter Born sagt:

        Die entscheidende Information des Artikels ist, dass es den W3LL Shop gibt, der Komplett-Service bietet – sofern es stimmt, dass dessen Angebot bisher unter dem Radar der Sicherheitsfirmen geflogen ist.

        Zum Rest: Die weiterführenden Links verfolgen und lesen (hat jemand in einem Folgekommentar erwähnt).

    • Klaus sagt:

      Wenn ich das richtig verstanden habe, wird MFA nicht ausgetrickst, sondern abgegriffen. Die gestalten eine Fake-Anmeldeseite und greifen dann den MFA-Token ab, ähnlich wie beim Banking die TANs, über Phishing-Mails.

      Wie man das verhindern kann? Derzeit wohl nur, nicht auf die Phishing-Mails hereinzufallen.

      • Micha sagt:

        "Wie man das verhindern kann?"
        Keine Verlinkungen aus E-Mails nutzen. Immer den Login über die Anbieterseite durchführen.

        Mann könnte die Rechte des Angreifers im Account einschenken.

        Änderungen an den Accounteinstellungen und Käufe über den Account, müssen durch eine erneute Abfrage des Authenticators bestätigt werden.
        Da der Angreifer in diesem Szenario keinen Zugriff auf den Authenticator hat, kann er nur eingeschränkt agieren.

        Komfortfunktionen wie "Angemeldet bleiben" dürfen nicht mehr angeboten werden. Sofern die Sitzung abläuft muss sich neu angemeldet werden.

    • CEO W3LL sagt:

      da hast du Recht 😂

  2. Perk sagt:

    Born,… uuuuaaaaahhh….bischen mehr Qualität und weniger Copypast-Quantität hätte dem gut getan….
    wenn du keine Zeit hast, dem etwas zu recherchieren, dann lass halt mal nen Artikel aus. Ist schnelles Posten denn so wichtig, dass man jeden noch so inhaltsfreien Pressetext zu Content verwurstet, nur um als erster möglichst viel Clickbaiteinnahmen anzugreifen?

    5 min die verlinkten Artikel lesen und dann hat man es: Klassische man-in-the-middle Attacke, der Kunde wird halt per Mailtexten a la „melden sie sich sofort an, oder ihr Accout wird wegen Inaktivität dauerhaft gesperrt" verleitet auf ähnlich klingende FskeURLS in der Mail (a la mirosift367.co und so) zu klicken und sich auf der bösen Webseite (die die offiziellen Microsoftseiten realitätsnah immitiert) mit der richtigen MS-Kennung einzuloggen und man greift als Angreifer halt danach das Sessiontoken ab und macht dann mit dem Sessiontoken (dass ja einige Zeit gilt) Schindluder.
    Evtl. geht das auch immer noch, dass man mit so abgegriffenen Sessiontokens mal eben die MFA-Konfig im gehighjackten MS-Account abändern kann, dass man effektiv den Account pbernehmen kann, da hab ich mir nicht die Mühe gemacht, noch weiter zu recherchieren
    Die greifen also nicht mal MFA Seeds aus den Authenticatorapps ab. Die zielen halt klassich auf unbedarfte Anwender.

    • Peter sagt:

      Lieber Perk,
      der 1. Teil deines Kommentars ist unnütz. Ich bin froh, hier Infos zu finden, die ich dann vertiefen kann.
      Vielen Dank für deinen 2. Teil, da spare ich mir das vertiefen 👍

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.