Neben dem Kit betrieb der Täter den Marktplatz W3LLSTORE, auf dem gestohlene Zugangsdaten und unbefugte Netzwerkzugänge gehandelt wurden. „Das war nicht bloß Phishing – es war eine umfassende Plattform für Cyberkriminalität", erklärte FBI-Sonderagent Marlo Graham.
Nach Angaben der Behörden ermöglichte der Marktplatz zwischen 2019 und 2023 den Verkauf von mehr als 25.000 kompromittierten Konten. Auch nach der Schließung von W3LLSTORE lief der Betrieb über verschlüsselte Messenger-Dienste weiter, wo das Werkzeug unter neuem Namen an weitere Täter verkauft wurde.
Zwischen 2023 und 2024 wurde das Phishing-Kit eingesetzt, um weltweit mehr als 17.000 Opfer ins Visier zu nehmen. Die Ermittler stellten fest, dass der Entwickler Zugänge zu kompromittierten Konten sammelte und weiterverkaufte.
Die W3LL-Plattform wurde zuvor mit Kampagnen gegen Microsoft-365-Unternehmenskonten in Verbindung gebracht und war darauf ausgelegt, Angriffe per Business E-Mail Compromise (BEC) von der ersten Zugangsverschaffung bis zur Nachverwertung zu unterstützen.
Das Kit setzte auf sogenannte Adversary-in-the-Middle-Angriffe: Dabei werden legitime Anmeldeportale über die Infrastruktur des Angreifers umgeleitet. So lassen sich Zugangsdaten, einmalige MFA-Codes und Sitzungs-Cookies in Echtzeit abfangen. Mit diesen Sitzungs-Cookies konnten sich die Täter anschließend in die kompromittierten Konten einloggen, ohne eine MFA-Abfrage auszulösen.
War der Zugriff erst einmal hergestellt, überwachten die Angreifer Postfächer, legten E-Mail-Regeln an und gaben sich als die Opfer aus, um Rechnungsbetrug zu begehen und Zahlungen umzuleiten.
