O **W3LL** Store, um notório kit de phishing e mercado online, facilitou o roubo de milhares de credenciais e permitiu mais de US$ 20 milhões em tentativas de fraude. A desativação envolveu o sequestro de infraestrutura e a prisão do suposto desenvolvedor. ### Sequestro do Website O site w3ll[.]store agora exibe uma mensagem de sequestro: 'Este Website Foi Sequestrado como parte de uma ação coordenada de fiscalização tomada contra o **W3LL** STORE.' O domínio foi sequestrado pelo **FBI** sob um mandado emitido pelo Tribunal Distrital dos Estados Unidos para o Distrito Norte da Geórgia.  *Banner de sequestro exibido no site do **W3LL** Store Fonte: BleepingComputer* ### Detalhes do Kit de Phishing W3LL O kit de phishing **W3LL**, precificado em US$ 500, permitia que cibercriminosos criassem réplicas convincentes de portais de login corporativos para coletar credenciais. Uma característica chave era sua capacidade de capturar tokens de sessão de autenticação, contornando efetivamente a autenticação multifator (MFA) e concedendo acesso a contas comprometidas.  *Administração do W3LL Store e do Painel W3LL Fonte: Group-IB* ### Mercado para Credenciais Roubadas O mercado **W3LLSTORE** serviu como um centro para compra e venda de credenciais roubadas e acesso não autorizado à rede. De acordo com as autoridades, mais de 25.000 contas comprometidas foram negociadas entre 2019 e 2023. 'Isso não era apenas phishing – era uma plataforma completa de cibercrime', declarou o Agente Especial em Carga do **FBI**, Marlo Graham. Mesmo após o desligamento do **W3LLSTORE**, a operação continuou através de plataformas de mensagens criptografadas, onde o kit de ferramentas foi renomeado e vendido para outros atores de ameaças. Entre 2023 e 2024, o kit de phishing visou mais de 17.000 vítimas em todo o mundo, com o desenvolvedor coletando e revendendo ativamente o acesso a contas comprometidas. ### Ataques Visando Microsoft 365 e BEC A plataforma de phishing **W3LL** havia sido anteriormente ligada a campanhas visando contas corporativas do **Microsoft 365** e foi projetada para facilitar ataques de comprometimento de e-mail corporativo (BEC) desde o acesso inicial até atividades pós-exploração. ### Ataques Adversário-no-Meio (AitM) O kit de phishing empregou ataques adversário-no-meio (AitM), roteando portais de login legítimos através da infraestrutura do atacante. Isso permitiu que os atores de ameaças monitorassem e interceptassem credenciais, senhas de uso único de MFA e cookies de sessão em tempo real. Os cookies de sessão roubados permitiram que os atacantes fizessem login em contas comprometidas sem acionar desafios de MFA. Uma vez dentro, os atacantes monitoravam caixas de entrada, criavam regras de e-mail e se passavam por vítimas para cometer fraudes de faturas e redirecionar pagamentos em ataques BEC.