Der '**W3LL** Store', ein berüchtigtes Phishing-Kit und Online-Marktplatz, ermöglichte den Diebstahl Tausender Zugangsdaten und führte zu versuchten Betrugsfällen im Wert von über 20 Millionen US-Dollar. Die Zerschlagung umfasste die Beschlagnahmung von Infrastruktur und die Verhaftung des mutmaßlichen Entwicklers. ### Beschlagnahmung der Website Die Website w3ll[.]store zeigt nun eine Beschlagnahmungsnachricht: "Diese Website wurde als Teil einer koordinierten Strafverfolgungsmaßnahme gegen **W3LL** STORE beschlagnahmt." Die Domain wurde vom **FBI** im Rahmen eines Haftbefehls des United States District Court for the Northern District of Georgia beschlagnahmt.  *Beschlagnahmungsbanner auf der Website des **W3LL** Store Quelle: BleepingComputer* ### Details zum W3LL Phishing-Kit Das **W3LL** Phishing-Kit, das für 500 US-Dollar angeboten wurde, ermöglichte es Cyberkriminellen, überzeugende Nachbildungen von Unternehmens-Login-Portalen zu erstellen, um Zugangsdaten zu stehlen. Eine Schlüsselfunktion war die Fähigkeit, Authentifizierungs-Session-Tokens zu erfassen, wodurch Multi-Faktor-Authentifizierung (MFA) effektiv umgangen und Zugriff auf kompromittierte Konten gewährt wurde.  *W3LL Store und W3LL Panel Administration Quelle: Group-IB* ### Marktplatz für gestohlene Zugangsdaten Der **W3LLSTORE**-Marktplatz diente als Drehkreuz für den Kauf und Verkauf von gestohlenen Zugangsdaten und unbefugtem Netzwerkzugriff. Laut Behörden wurden zwischen 2019 und 2023 über 25.000 kompromittierte Konten gehandelt. "Das war nicht nur Phishing – es war eine Full-Service-Cyberkriminalitätsplattform", sagte **FBI** Special Agent in Charge Marlo Graham. Selbst nach der Abschaltung von **W3LLSTORE** setzte die Operation über verschlüsselte Messaging-Plattformen fort, wo das Toolkit umbenannt und an andere Bedrohungsakteure verkauft wurde. Zwischen 2023 und 2024 zielte das Phishing-Kit auf über 17.000 Opfer weltweit ab, wobei der Entwickler aktiv auf kompromittierte Konten zugriff und diese weiterverkaufte. ### Angriffe auf Microsoft 365 und BEC-Angriffe Die **W3LL** Phishing-Plattform wurde zuvor mit Kampagnen in Verbindung gebracht, die auf **Microsoft 365**-Unternehmenskonten abzielten, und war darauf ausgelegt, Business Email Compromise (BEC)-Angriffe von der anfänglichen Kompromittierung bis zu Post-Exploitation-Aktivitäten zu ermöglichen. ### Adversary-in-the-Middle-Angriffe Das Phishing-Kit nutzte Adversary-in-the-Middle (AitM)-Angriffe, bei denen legitime Login-Portale über die Infrastruktur des Angreifers geleitet wurden. Dies ermöglichte es den Angreifern, Zugangsdaten, Einmal-MFA-Passcodes und Session-Cookies in Echtzeit zu überwachen und abzufangen. Die gestohlenen Session-Cookies ermöglichten es den Angreifern, sich in kompromittierte Konten einzuloggen, ohne MFA-Abfragen auszulösen. Nach dem Einloggen überwachten die Angreifer die Posteingänge, erstellten E-Mail-Regeln und gaben sich als Opfer aus, um Rechnungsbetrug zu begehen und Zahlungen bei BEC-Angriffen umzuleiten.