Le **W3LL** Store, un kit de phishing notoire et une place de marché en ligne, a facilité le vol de milliers d'identifiants et a permis plus de 20 millions de dollars de tentatives de fraude. Le démantèlement a impliqué la saisie d'infrastructures et l'arrestation du développeur présumé. ### Saisie du site web Le site web w3ll[.]store affiche désormais un message de saisie : "Ce site web a été saisi dans le cadre d'une action coordonnée des forces de l'ordre menée contre **W3LL** STORE." Le domaine a été saisi par le **FBI** en vertu d'un mandat délivré par le tribunal de district des États-Unis pour le district nord de la Géorgie.  *Bannière de saisie affichée sur le site **W3LL** Store Source : BleepingComputer* ### Détails du kit de phishing W3LL Le kit de phishing **W3LL**, vendu au prix de 500 $, permettait aux cybercriminels de créer des répliques convaincantes de portails de connexion d'entreprise pour collecter des identifiants. Une caractéristique clé était sa capacité à capturer les jetons de session d'authentification, contournant ainsi efficacement l'authentification multifacteur (MFA) et accordant l'accès aux comptes compromis.  *Administration du W3LL Store et du W3LL Panel Source : Group-IB* ### Place de marché pour les identifiants volés La place de marché **W3LLSTORE** servait de hub pour l'achat et la vente d'identifiants volés et d'accès réseau non autorisés. Selon les autorités, plus de 25 000 comptes compromis ont été échangés entre 2019 et 2023. "Ce n'était pas juste du phishing, c'était une plateforme de cybercriminalité à service complet", a déclaré l'agent spécial en charge du **FBI**, Marlo Graham. Même après l'arrêt de **W3LLSTORE**, l'opération s'est poursuivie via des plateformes de messagerie cryptée, où la boîte à outils a été renommée et vendue à d'autres acteurs malveillants. Entre 2023 et 2024, le kit de phishing a ciblé plus de 17 000 victimes dans le monde, le développeur collectant et revendant activement l'accès aux comptes compromis. ### Ciblage de Microsoft 365 et des attaques BEC La plateforme de phishing **W3LL** avait été précédemment liée à des campagnes ciblant les comptes d'entreprise **Microsoft 365** et était conçue pour faciliter les attaques de compromission de la messagerie professionnelle (BEC), de l'accès initial aux activités post-exploitation. ### Attaques de l'homme du milieu (Adversary-in-the-Middle) Le kit de phishing employait des attaques de l'homme du milieu (AitM), en proxyant les portails de connexion légitimes via l'infrastructure de l'attaquant. Cela permettait aux acteurs malveillants de surveiller et d'intercepter en temps réel les identifiants, les codes d'authentification multifacteur uniques et les cookies de session. Les cookies de session volés permettaient aux attaquants de se connecter aux comptes compromis sans déclencher les défis MFA. Une fois à l'intérieur, les attaquants surveillaient les boîtes de réception, créaient des règles d'e-mail et usurpaient l'identité des victimes pour commettre des fraudes à la facture et rediriger les paiements dans le cadre d'attaques BEC.