悪名高いフィッシングキットおよびオンラインマーケットプレイスである「W3LL」ストアは、数千件の認証情報の盗難を助長し、2,000万ドル以上の不正行為を試みました。今回の摘発には、インフラの差し押さえと、容疑者の開発者の逮捕が含まれます。 ### ウェブサイトの差し押さえ 現在、w3ll[.]store のウェブサイトには、「W3LL STORE に対する法執行機関による連携措置の一環として、このウェブサイトは差し押さえられました。」というメッセージが表示されています。このドメインは、ジョージア州北部地区連邦地方裁判所によって発行された令状に基づき、FBIによって差し押さえられました。  *「W3LL」ストアサイトに表示された差し押さえバナー 出典: BleepingComputer* ### W3LLフィッシングキットの詳細 500ドルで販売されていた「W3LL」フィッシングキットは、サイバー犯罪者が企業ログインポータルの説得力のあるレプリカを作成し、認証情報を収集することを可能にしていました。主な機能の一つは、認証セッショントークンをキャプチャする能力であり、これにより多要素認証（MFA）を効果的にバイパスし、侵害されたアカウントへのアクセスを可能にしていました。  *「W3LL」ストアと「W3LL」パネルの管理画面 出典: Group-IB* ### 盗難された認証情報のマーケットプレイス 「W3LLSTORE」マーケットプレイスは、盗難された認証情報や不正なネットワークアクセスの売買のハブとして機能していました。当局によると、2019年から2023年の間に25,000件以上の侵害されたアカウントが取引されました。 「これは単なるフィッシングではありませんでした。完全なサービスを提供するサイバー犯罪プラットフォームでした」と、FBI特別捜査官責任者のマーロ・グラハム氏は述べています。 「W3LLSTORE」のシャットダウン後も、このオペレーションは暗号化されたメッセージングプラットフォームを通じて継続され、ツールキットはブランド変更され、他の脅威アクターに販売されていました。2023年から2024年の間に、このフィッシングキットは世界中の17,000人以上の被害者を標的とし、開発者は侵害されたアカウントへのアクセスを積極的に収集・再販していました。 ### Microsoft 365とBEC攻撃の標的 「W3LL」フィッシングプラットフォームは、以前からMicrosoft 365の企業アカウントを標的としたキャンペーンに関連付けられており、初期アクセスから攻撃後の活動まで、ビジネスメール詐欺（BEC）攻撃を容易にするように設計されていました。 ### 中間者攻撃（Adversary-in-the-Middle Attacks） このフィッシングキットは、正規のログインポータルを攻撃者のインフラストラクチャ経由でプロキシする中間者攻撃（AitM）を採用していました。これにより、脅威アクターは認証情報、ワンタイムMFAパスコード、およびセッションCookieをリアルタイムで監視および傍受することができました。 盗まれたセッションCookieにより、攻撃者はMFAチャレンジをトリガーすることなく、侵害されたアカウントにログインすることができました。内部に入り込むと、攻撃者は受信トレイを監視し、メールルールを作成し、被害者を装って請求書詐欺を行い、BEC攻撃で支払いをリダイレクトしていました。