W3LL钓鱼工具包绕过MFA并劫持8000+微软365帐户

近期一个名为W3LL的攻击者开发了一个网络钓鱼工具包,该工具包可以绕过多因素身份验证以及其他工具,危害了8000多个Microsoft 365公司帐户。

在过去十个月内,安全研究人员发现W3LL的实用程序和基础设施被用来设置大约850个网络钓鱼,这些网络钓鱼针对56000多个Microsoft 365帐户的凭证。

发展业务

W3LL的定制网络钓鱼工具为至少500名攻击者提供服务,被用于商业电子邮件欺诈(BEC)攻击,造成数百万美元的经济损失。

研究人员表示,W3LL的库存几乎涵盖了BEC行动的整个杀伤链,可以由“各种技术水平的攻击者”去进行操作。

最新报告提供了有关W3LL的详细信息,以及它是如何成长为BEC团伙最先进的恶意开发者之一的。

W3LL活动的第一个证据是在2017年,当时开发人员开始提供一个名为W3LL SMTP Sender的自定义批量邮件发送工具,该工具被用于发送垃圾邮件。

当该公司开始销售一款针对Microsoft 365公司账户的定制网络钓鱼工具包时,W3LL的知名度和业务开始增长。

2018年,W3LL推出了W3LL商店,向封闭的攻击者社区推广和销售工具。

W3LL的主要武器W3LL面板可以被视为同类产品中最先进的钓鱼套件之一,具有中间层的对抗功能、API、源代码保护和其他独特功能

W3LL武器库用于BEC攻击

除了W3LL Panel,被设计为绕过多因素身份验证(MFA),攻击者还提供了16个工具,所有这些工具都为BEC攻击做好了准备。目录包括:

  • SMTP senders PunnySender and W3LL Sender
  • The malicious link stager W3LL Redirect
  • A vulnerability scanner called OKELO
  • An automated account discovery utility named CONTOOL
  • An email validator called LOMPAT

根据报告中的说法,W3LL Store提供了部署BEC攻击的解决方案,从挑选受害者、使用武器化附件(默认或自定义)的网络钓鱼诱饵的初始阶段,到启动进入受害者收件箱的网络钓鱼电子邮件。

研究人员表示,W3LL有足够的技能,可以通过在受损的网络服务器和服务上部署和托管工具来保护其工具不被检测或拆除。

然而,客户也可以选择使用W3LL的OKELO扫描仪来查找易受攻击的系统,并自行访问这些系统。

 

使用W3LL工具的BEC攻击杀伤链

 

▍绕过筛选器和安全代理

W3LL用来绕过电子邮件网关和安全代理的一些技术包括对电子邮件标题和文本主体(Punycode、HTML标签、图像、与远程内容的链接)的各种模糊处理方法。

最初的网络钓鱼链接也使用多种逃避检测的方法提供。一种是通过钓鱼附件,而不是将其嵌入电子邮件正文中。

研究人员发现,链接被放在一个HTML文件中,作为附件。当受害者打开恶意HTML(可能伪装成文档或语音消息)时,浏览器窗口会打开一个“看起来真实的MS Outlook动画”

这是W3LL面板网络钓鱼页面,可用于收集Microsoft 365帐户凭证。

在分析了一个真实的W3LL网络钓鱼附件后,报告中说到它是一个HTML文件,在iframe中通过base64编码混淆JavaScript来显示网站。

 

在野外观察到W3LL钓鱼附件

在6月底更新的新版本中,W3LL添加了多层模糊处理和编码。它直接从W3LL面板加载脚本,而不是将其包含在HTML代码中。

最近的版本的事件链如下所示:

更新的W3LL网络钓鱼附件

▍劫持Microsoft 365公司帐户

研究人员解释说,网络钓鱼诱饵中的初始链接不会导致W3LL面板中的虚假Microsoft 365登录页面,它只是重定向链的开始,只是在防止发现W3LL面板的网络钓鱼页面。

对于W3LL危害Microsoft 365帐户,它使用对手/中间人(AitM/MitM)技术,受害者和Microsoft服务器之间的通信通过W3LL面板和充当后端系统的W3LL商店。

 

目标是获取受害者的身份验证会话cookie。要做到这一点,W3LL面板需要经过几个步骤,其中包括:
  • 通过CAPTCHA验证
  • 设置正确的虚假登录页面
  • 验证受害者的帐户
  • 获取目标组织的品牌标识
  • 获取登录过程的Cookie
  • 识别帐户类型
  • 验证密码
  • 获取一次性密码(OTP)
  • 获取经过身份验证的会话cookie

 

W3LL面板获取身份验证会话cookie后,帐户会被泄露,并向受害者显示一份PDF文档,以使登录请求看起来合法。

 

▍帐户发现阶段

使用CONTOOL,攻击者可以自动查找受害者使用的电子邮件、电话号码、附件、文档或URL,这可能有助于横向移动阶段。

该工具还可以监控、过滤和修改收到的电子邮件,以及在Telegram帐户中接收基于特定关键字的通知。

 

此类攻击的典型结果是:
  • 数据盗窃
  • 使用攻击者的付款信息伪造发票
  • 冒充专业服务向客户发送欺诈性付款请求
  • 典型的BEC欺诈-接触高管并代表他们指示员工进行电汇或购买商品
  • 分发恶意软件

▍盈利和价格

在研究了W3LL面板的功能后,从技术层面描述了一些功能是如何实现预期目标的,无论是逃避检测还是收集数据。

W3LL Panel是开发商的皇冠明珠产品,三个月售价500美元,每月续订价格150美元。激活它的许可证也必须购买。

以下是套件和管理面板的购买页面:

 

W3LL存储和W3LL面板管理

这位W3LL攻击者已经存在了大约五年,积累了500多名网络攻击者的客户群,他们的商店里有12000多种商品可供选择。

除了网络钓鱼和BEC相关工具外,W3LL还提供对受损Web服务(Web shell、电子邮件、内容管理系统)、SSH和RDP服务器、托管和云服务帐户、商业电子邮件域、VPN帐户和被劫持电子邮件帐户的访问。

在2022年10月至2023年7月期间,W3LL售出了3800多件商品,估计营业额超过50万美元。

近年来网络犯罪逐渐产业化,W3LL这一类团伙所提供的犯罪软件也逐渐saas化,意味着对于越来越多的攻击者来说,网络攻击的门槛在降低,即便是初级的脚本小子也能够通过购买这些攻击服务而获得强大的攻击能力。

越来越多的攻击者进场,也意味着没有任何一家企业应当抱有侥幸心理,自身防御体系效果的验证和防御短板的发现及补救,更是迫在眉睫。

塞讯安全度量验证平台能够模拟包含恶意链接或恶意附件的钓鱼邮件等一系列网络欺诈攻击行为,为企业提供安全有效的防御体系效果验证服务,通过可视化报告帮助企业明确防御体系的短板并做出相应的调整和准备,降低安全团队处理钓鱼邮件所花费的成本。

您可以在塞讯安全度量验证平台中轻松选择那些包含恶意链接或恶意附件的钓鱼邮件的验证实验,指定验证机器人发送这些邮件给企业邮件系统中指定的邮件地址,用于验证您企业的邮件安全产品是否有能力检测出这些钓鱼邮件并将其隔离或删除。