De Amerikaanse FBI heeft samen met de Indonesische politie de infrastructuur van het wereldwijde phishingnetwerk W3LL ontmanteld. Dit netwerk maakte gebruik van een kant-en-klare toolkit om duizenden accountgegevens van slachtoffers te stelen en probeerde meer dan 20 miljoen dollar aan fraude te plegen. Tegelijkertijd werd de vermoedelijke ontwikkelaar, geïdentificeerd als G.L., aangehouden en werden belangrijke domeinen die aan de phishingcampagne waren gekoppeld in beslag genomen.

Volgens de FBI was de ontmanteling een belangrijke slag tegen cybercriminelen die ongeautoriseerde toegang tot accounts verkrijgen. De W3LL phishingkit stelde criminelen in staat om legitieme inlogpagina's na te bootsen en zo slachtoffers te misleiden hun inloggegevens af te staan. De toolkit werd voor ongeveer 500 dollar aangeboden en maakte het mogelijk om nepwebsites te creëren die vertrouwde loginportalen imiteerden. FBI-agent Marlo Graham noemde het geen gewone phishing, maar een volledige cybercrimeplatform dat ook mailinglijsten en toegang tot gecompromitteerde servers leverde.

De toolkit werd voor het eerst in september 2023 gedocumenteerd door het in Singapore gevestigde Group-IB. Zij beschreven W3LL als een alles-in-één phishingplatform dat via een underground marktplaats, de W3LL Store, ongeveer 500 dreigingsactoren bediende. Deze marktplaats bood naast de phishingkit ook tools voor business email compromise (BEC) aanvallen aan. De ontwikkelaar van W3LL was al actief sinds 2017 en had eerder bulk e-mail spamtools ontwikkeld.

Volgens de FBI werden via de W3LL Store ook gestolen inloggegevens en ongeautoriseerde systeemtoegang, waaronder remote desktop verbindingen, verhandeld. Tussen 2019 en 2023 werden naar schatting meer dan 25.000 gecompromitteerde accounts via deze marktplaats verkocht. De toolkit richtte zich vooral op Microsoft 365-accounts en gebruikte technieken zoals adversary-in-the-middle (AitM) om sessiecookies te kapen en multi-factor authenticatie te omzeilen, aldus een rapport van Hunt.io.

Hoewel de W3LL Store in 2023 werd gesloten, bleef de operatie via versleutelde berichtenplatforms actief, waarbij de toolkit werd hernoemd en actief werd gepromoot. In de periode 2023-2024 werd de phishingkit gebruikt om wereldwijd meer dan 17.000 slachtoffers te targeten. De ontwikkelaar verzamelde en verkocht toegang tot gecompromitteerde accounts, waardoor de impact van de operatie werd vergroot.