### Cooperação Internacional Leva ao Desmantelamento de Infraestrutura de Phishing O **Federal Bureau of Investigation (FBI)** dos EUA, em cooperação com a Polícia Nacional Indonésia, desmantelou com sucesso a infraestrutura de uma operação global de phishing. Esta operação utilizou um kit de ferramentas pronto para uso chamado **W3LL** para roubar credenciais de contas e tentar mais de US$ 20 milhões em atividades fraudulentas. As autoridades também detiveram o suposto desenvolvedor, identificado como G.L., e apreenderam domínios cruciais associados ao esquema de phishing. De acordo com uma declaração do **FBI**, "O desmantelamento corta um recurso importante usado por cibercriminosos para obter acesso não autorizado às contas das vítimas." ### Kit de Phishing W3LL: Uma Plataforma de Cibercrime O kit de phishing **W3LL** permitiu que criminosos criassem réplicas realistas de páginas de login legítimas, enganando as vítimas para que divulgassem suas credenciais e permitindo que os atacantes assumissem o controle de suas contas. Este kit foi supostamente vendido por cerca de US$ 500. "Isso não foi apenas phishing – foi uma plataforma de cibercrime de serviço completo", declarou o Agente Especial em Exercício do **FBI** em Atlanta, Marlo Graham. "Continuaremos a trabalhar com nossos parceiros de aplicação da lei domésticos e estrangeiros, usando todas as ferramentas disponíveis para proteger o público." ### A Loja W3LL e seu Impacto A **Group-IB** documentou o **W3LL** pela primeira vez em setembro de 2023, detalhando o uso dos operadores da **W3LL Store**, um mercado underground que atendia aproximadamente 500 atores de ameaças. Este mercado permitiu que eles comprassem acesso ao kit de phishing **W3LL** Panel e outras ferramentas de cibercrime para ataques de comprometimento de e-mail comercial (BEC). O **W3LL** foi descrito como uma plataforma de phishing tudo-em-um oferecendo ferramentas personalizadas, listas de e-mail e acesso a servidores comprometidos. O ator de ameaças por trás deste serviço acredita-se estar ativo desde 2017, tendo desenvolvido anteriormente ferramentas de spam de e-mail em massa como PunnySender e **W3LL** Sender. De acordo com o **FBI**, a **W3LL Store** também facilitou a venda de credenciais roubadas e acesso não autorizado a sistemas, incluindo conexões de desktop remoto. Estima-se que mais de 25.000 contas comprometidas foram vendidas na loja entre 2019 e 2023. ### Detalhes Técnicos e Persistência A **Hunt.io** observou em um relatório de março de 2024 que o **W3LL** visava principalmente credenciais do **Microsoft 365**, usando técnicas de adversário-no-meio (AitM) para sequestrar cookies de sessão e contornar a autenticação multifator. A empresa de segurança francesa **Sekoia**, em sua análise do kit de phishing **Sneaky 2FA**, revelou que a ferramenta reutilizou código do sindicato **W3LL Store**. Versões crackeadas do **W3LL** também circularam nos últimos anos. Apesar do fechamento da **W3LL Store** em 2023, a operação continuou através de plataformas de mensagens criptografadas, onde a ferramenta foi renomeada e ativamente comercializada. De 2023 a 2024, apenas o kit de phishing visou mais de 17.000 vítimas em todo o mundo. O **FBI** enfatizou que "O desenvolvedor por trás da ferramenta coletou e revendeu o acesso a contas comprometidas, ampliando o alcance e o impacto do esquema."