### Internationale Kooperation führt zur Zerschlagung der Phishing-Infrastruktur Das U.S. **Federal Bureau of Investigation (FBI)** hat in Zusammenarbeit mit der indonesischen Nationalpolizei erfolgreich die Infrastruktur einer globalen Phishing-Operation zerschlagen. Diese Operation nutzte ein fertiges Toolkit namens **W3LL**, um Anmeldedaten zu stehlen und betrügerische Aktivitäten im Wert von über 20 Millionen US-Dollar zu versuchen. Die Behörden haben auch den mutmaßlichen Entwickler, identifiziert als G.L., festgenommen und entscheidende Domains beschlagnahmt, die mit dem Phishing-Schema in Verbindung stehen. Laut einer Erklärung des **FBI**: „Die Zerschlagung unterbindet eine wichtige Ressource, die von Cyberkriminellen genutzt wird, um unbefugten Zugriff auf die Konten von Opfern zu erlangen.“ ### W3LL Phishing-Kit: Eine Cybercrime-Plattform Das **W3LL** Phishing-Kit ermöglichte es Kriminellen, realistische Nachbildungen legitimer Login-Seiten zu erstellen, wodurch Opfer dazu verleitet wurden, ihre Anmeldedaten preiszugeben und Angreifern die Kontrolle über ihre Konten zu ermöglichen. Dieses Kit wurde Berichten zufolge für rund 500 US-Dollar verkauft. „Das war nicht nur Phishing – es war eine Full-Service-Cybercrime-Plattform“, sagte **FBI** Atlanta Special Agent in Charge Marlo Graham. „Wir werden weiterhin mit unseren nationalen und ausländischen Strafverfolgungsbehörden zusammenarbeiten und alle verfügbaren Werkzeuge nutzen, um die Öffentlichkeit zu schützen.“ ### Der W3LL Store und seine Auswirkungen **Group-IB** dokumentierte **W3LL** erstmals im September 2023 und beschrieb die Nutzung des **W3LL Store** durch die Betreiber, einen Underground-Marktplatz, der rund 500 Bedrohungsakteure bediente. Dieser Marktplatz ermöglichte es ihnen, Zugang zum **W3LL** Panel Phishing-Kit und anderen Cybercrime-Tools für Business Email Compromise (BEC)-Angriffe zu erwerben. **W3LL** wurde als All-in-One-Phishing-Plattform beschrieben, die benutzerdefinierte Tools, Mailinglisten und Zugang zu kompromittierten Servern anbot. Es wird angenommen, dass der hinter diesem Dienst stehende Bedrohungsakteur seit 2017 aktiv war und zuvor Massen-E-Mail-Spam-Tools wie PunnySender und **W3LL** Sender entwickelt hatte. Laut dem **FBI** ermöglichte der **W3LL Store** auch den Verkauf gestohlener Anmeldedaten und unbefugten Systemzugangs, einschließlich Remote-Desktop-Verbindungen. Schätzungen zufolge wurden zwischen 2019 und 2023 über 25.000 kompromittierte Konten im Store angeboten. ### Technische Details und Persistenz **Hunt.io** stellte in einem Bericht vom März 2024 fest, dass **W3LL** hauptsächlich **Microsoft 365**-Anmeldedaten ins Visier nahm und Adversary-in-the-Middle (AitM)-Techniken nutzte, um Session-Cookies zu kapern und Multi-Faktor-Authentifizierung zu umgehen. Das französische Sicherheitsunternehmen **Sekoia** enthüllte in seiner Analyse des **Sneaky 2FA** Phishing-Kits, dass das Tool Code aus dem **W3LL Store**-Syndikat wiederverwendete. Gecrackte Versionen von **W3LL** zirkulierten in den letzten Jahren ebenfalls. Obwohl der **W3LL Store** im Jahr 2023 eingestellt wurde, setzte sich die Operation über verschlüsselte Messaging-Plattformen fort, wo das Tool umbenannt und aktiv vermarktet wurde. Allein von 2023 bis 2024 zielte das Phishing-Kit auf über 17.000 Opfer weltweit ab. Das **FBI** betonte: „Der Entwickler hinter dem Tool sammelte und verkaufte den Zugang zu kompromittierten Konten weiter und verstärkte so die Reichweite und die Auswirkungen des Schemas.“