### Coopération internationale pour le démantèlement d'une infrastructure de phishing Le **Federal Bureau of Investigation (FBI)** américain, en collaboration avec la police nationale indonésienne, a réussi à démanteler l'infrastructure d'une opération mondiale de phishing. Cette opération utilisait une trousse à outils prête à l'emploi appelée **W3LL** pour dérober des identifiants de compte et tenter plus de 20 millions de dollars d'activités frauduleuses. Les autorités ont également appréhendé le développeur présumé, identifié comme G.L., et saisi des domaines cruciaux associés au stratagème de phishing. Selon une déclaration du **FBI**, « Le démantèlement coupe une ressource majeure utilisée par les cybercriminels pour obtenir un accès non autorisé aux comptes des victimes. » ### La trousse de phishing W3LL : une plateforme de cybercriminalité La trousse de phishing **W3LL** permettait aux criminels de créer des répliques réalistes de pages de connexion légitimes, trompant ainsi les victimes pour qu'elles divulguent leurs identifiants et permettant aux attaquants de prendre le contrôle de leurs comptes. Cette trousse était apparemment vendue environ 500 dollars. « Ce n'était pas seulement du phishing – c'était une plateforme de cybercriminalité à service complet », a déclaré l'agent spécial en charge du **FBI** Atlanta, Marlo Graham. « Nous continuerons à travailler avec nos partenaires nationaux et étrangers chargés de l'application de la loi, en utilisant tous les outils disponibles pour protéger le public. » ### Le W3LL Store et son impact **Group-IB** a documenté pour la première fois **W3LL** en septembre 2023, détaillant l'utilisation par les opérateurs du **W3LL Store**, une place de marché clandestine servant environ 500 acteurs de la menace. Cette place de marché leur permettait d'acheter l'accès à la trousse de phishing **W3LL** Panel et à d'autres outils de cybercriminalité pour des attaques de compromission de la messagerie professionnelle (BEC). **W3LL** a été décrit comme une plateforme de phishing tout-en-un offrant des outils personnalisés, des listes de diffusion et un accès à des serveurs compromis. L'acteur de la menace derrière ce service serait actif depuis 2017, ayant précédemment développé des outils de spam par e-mail en masse tels que PunnySender et **W3LL** Sender. Selon le **FBI**, le **W3LL Store** facilitait également la vente d'identifiants volés et d'accès système non autorisés, y compris des connexions bureau à distance. On estime que plus de 25 000 comptes compromis ont été vendus dans la vitrine entre 2019 et 2023. ### Détails techniques et persistance **Hunt.io** a noté dans un rapport de mars 2024 que **W3LL** ciblait principalement les identifiants **Microsoft 365**, utilisant des techniques d'adversaire-en-le-milieu (AitM) pour détourner les cookies de session et contourner l'authentification multifacteur. La société de sécurité française **Sekoia**, dans son analyse de la trousse de phishing **Sneaky 2FA**, a révélé que l'outil réutilisait du code du syndicat **W3LL Store**. Des versions crackées de **W3LL** ont également circulé ces dernières années. Malgré la fermeture du **W3LL Store** en 2023, l'opération s'est poursuivie via des plateformes de messagerie cryptées, où l'outil a été renommé et activement commercialisé. De 2023 à 2024 seulement, la trousse de phishing a ciblé plus de 17 000 victimes dans le monde. Le **FBI** a souligné que « Le développeur derrière l'outil collectait et revendait l'accès aux comptes compromis, amplifiant la portée et l'impact du stratagème. »