Agências de segurança desmantelaram com sucesso a plataforma de phishing **W3LL**, uma ferramenta que permitia a cibercriminosos criar sites falsos realistas para roubo de credenciais. ### Cooperação Internacional Leva ao Desmantelamento O escritório do **FBI** em Atlanta anunciou a apreensão da infraestrutura que suportava o serviço de phishing. Simultaneamente, a Polícia Nacional Indonésia prendeu o indivíduo que se acredita ser o desenvolvedor da plataforma, identificado apenas como G.L., e confiscou domínios cruciais associados à **W3LL**. "Isso não foi apenas phishing – foi uma plataforma completa de cibercrime", declarou Marlo Graham, agente especial encarregado do **FBI** Atlanta, destacando a natureza abrangente da ameaça. ### Modus Operandi da W3LL A plataforma **W3LL** permitia que atacantes enganassem vítimas para que inserissem suas credenciais em portais de login falsificados. Essas credenciais roubadas eram então usadas para contornar a autenticação multifator (MFA), concedendo aos cibercriminosos acesso persistente a contas comprometidas. O **FBI** revelou que o kit de phishing era suportado por um mercado online chamado **W3LLSTORE**, que negociava detalhes de login comprometidos e credenciais de desktop remoto. ### Escala da Operação Entre 2019 e 2023, o **W3LLSTORE** teria anunciado mais de 25.000 contas comprometidas para venda, facilitando o roubo de credenciais e permitindo tentativas de fraude superiores a US$ 20 milhões. Pesquisadores da **Group IB** relataram que a plataforma atendia a uma comunidade fechada de pelo menos 500 atores de ameaças, oferecendo um kit de phishing personalizado chamado **W3LL Panel**, projetado para contornar MFA, juntamente com outras 16 ferramentas para ataques de comprometimento de e-mail corporativo (BEC). De acordo com a **Group-IB**, as ferramentas de phishing da **W3LL** visaram mais de 56.000 contas corporativas da **Microsoft 365** nos EUA, Reino Unido, Austrália e Europa entre outubro de 2022 e julho de 2023. Os pesquisadores estimam que os ganhos da **W3LL** provavelmente atingiram meio milhão de dólares nos últimos 10 meses de operação. ### Persistência e Evolução Apesar do encerramento do **W3LLSTORE** em 2023, a plataforma continuou a operar por meio de serviços de mensagens criptografadas. Cibercriminosos continuaram a comercializar a ferramenta, que foi usada em ataques visando 17.000 vítimas globalmente entre 2023 e 2024. ### Ascensão da Fraude Cibernética O **FBI** relatou recentemente um aumento na fraude cibernética, respondendo pela maioria das perdas reportadas ao seu Centro de Denúncias de Crimes na Internet (**IC3**) em 2025, com um impressionante valor de US$ 17,6 bilhões roubados. Este desmantelamento segue as ações recentes do **FBI** contra outras plataformas de cibercrime, incluindo **Leakbase** e o mercado russo **RAMP**. Em dezembro, o **FBI** também colaborou com a polícia nigeriana para prender um desenvolvedor por trás do kit de phishing **RaccoonO365**, que, semelhante ao **W3LLSTORE**, foi usado para criar portais de login falsos da **Microsoft** para roubo de credenciais.