La **W3LL** Store, un notorio kit de phishing y mercado en línea, facilitó el robo de miles de credenciales y permitió más de $20 millones en intentos de fraude. El desmantelamiento implicó la incautación de infraestructura y el arresto del presunto desarrollador. ### Incautación del Sitio Web El sitio web w3ll[.]store ahora muestra un mensaje de incautación: "Este Sitio Web Ha Sido Incautado como parte de una acción coordinada de aplicación de la ley tomada contra **W3LL** STORE." El dominio fue incautado por el **FBI** bajo una orden emitida por el Tribunal de Distrito de los Estados Unidos para el Distrito Norte de Georgia.  *Banner de incautación mostrado en el sitio de **W3LL** Store Fuente: BleepingComputer* ### Detalles del Kit de Phishing W3LL El kit de phishing **W3LL**, con un precio de $500, permitía a los ciberdelincuentes crear réplicas convincentes de portales de inicio de sesión corporativos para robar credenciales. Una característica clave fue su capacidad para capturar tokens de sesión de autenticación, eludiendo efectivamente la autenticación multifactor (MFA) y otorgando acceso a cuentas comprometidas.  *Administración de **W3LL** Store y Panel **W3LL** Fuente: Group-IB* ### Mercado de Credenciales Robadas El mercado **W3LLSTORE** sirvió como centro para comprar y vender credenciales robadas y acceso no autorizado a redes. Según las autoridades, más de 25,000 cuentas comprometidas fueron intercambiadas entre 2019 y 2023. "Esto no era solo phishing, era una plataforma de ciberdelincuencia de servicio completo", declaró el Agente Especial a Cargo del **FBI**, Marlo Graham. Incluso después del cierre de **W3LLSTORE**, la operación continuó a través de plataformas de mensajería cifrada, donde el kit de herramientas fue renombrado y vendido a otros actores de amenazas. Entre 2023 y 2024, el kit de phishing se dirigió a más de 17,000 víctimas en todo el mundo, y el desarrollador recopiló y revendió activamente el acceso a cuentas comprometidas. ### Ataques Dirigidos a Microsoft 365 y Ataques BEC La plataforma de phishing **W3LL** había sido previamente vinculada a campañas dirigidas a cuentas corporativas de **Microsoft 365** y fue diseñada para facilitar ataques de compromiso de correo electrónico empresarial (BEC) desde el acceso inicial hasta las actividades posteriores a la explotación. ### Ataques Adversario-en-el-Medio El kit de phishing empleó ataques adversario-en-el-medio (AitM), proxyficando portales de inicio de sesión legítimos a través de la infraestructura del atacante. Esto permitió a los actores de amenazas monitorear e interceptar credenciales, contraseñas MFA de un solo uso y cookies de sesión en tiempo real. Las cookies de sesión robadas permitieron a los atacantes iniciar sesión en cuentas comprometidas sin activar los desafíos de MFA. Una vez dentro, los atacantes monitoreaban las bandejas de entrada, creaban reglas de correo electrónico y suplantaban a las víctimas para cometer fraude de facturas y redirigir pagos en ataques BEC.