W3LL wurde erstmals im September 2023 vom in Singapur ansässigen Unternehmen Group-IB dokumentiert. Die Sicherheitsforscher beschrieben einen Untergrund-Marktplatz namens W3LL Store, der rund 500 Akteuren diente. Dort konnten sie den Phishing-Baukasten W3LL Panel sowie weitere Werkzeuge für Angriffe auf Geschäfts-E-Mails (Business Email Compromise, BEC) erwerben.
Group-IB charakterisierte W3LL als eine Komplettlösung für Phishing, die ein breites Spektrum an Diensten umfasste – von maßgeschneiderten Phishing-Werkzeugen über Mailing-Listen bis zum Zugang zu kompromittierten Servern. Der Akteur hinter dem Angebot soll bereits seit 2017 aktiv sein und zuvor Werkzeuge für den massenhaften Versand von Spam-E-Mails wie PunnySender und W3LL Sender entwickelt haben.
Nach Angaben des FBI ermöglichte der W3LL Store auch den Verkauf gestohlener Zugangsdaten und unbefugter Systemzugänge, einschließlich Remote-Desktop-Verbindungen. Zwischen 2019 und 2023 sollen über den Marktplatz mehr als 25.000 kompromittierte Konten gehandelt worden sein.
W3LL zielte vorrangig auf Microsoft-365-Zugangsdaten ab. Laut einem im März 2024 veröffentlichten Bericht von Hunt.io setzte das Werkzeug die Technik des Adversary-in-the-Middle (AitM) ein, um Sitzungs-Cookies zu kapern und die Mehr-Faktor-Authentifizierung zu umgehen.
Das französische Sicherheitsunternehmen Sekoia stellte im vergangenen Jahr bei der Analyse eines anderen Phishing-Baukastens namens Sneaky 2FA fest, dass dieser einige Code-Bestandteile aus dem W3LL-Store-Umfeld wiederverwendete. Zudem seien in den vergangenen Jahren geknackte Versionen von W3LL in Umlauf gebracht worden.
Auch nach der Schließung des W3LL Store im Jahr 2023 lief die Operation laut FBI weiter: Das Werkzeug wurde über verschlüsselte Messaging-Plattformen unter neuem Namen weitervermarktet. Allein zwischen 2023 und 2024 sei der Baukasten gegen mehr als 17.000 Opfer weltweit eingesetzt worden. Der Entwickler habe Zugänge zu kompromittierten Konten gesammelt und weiterverkauft und damit Reichweite und Wirkung der Operation zusätzlich vergrößert.
