Mon, 13 Apr 2026
← VoltarO FBI e as autoridades indonésias desmantelaram a plataforma global de phishing W3LL, prendendo o seu desenvolvedor. Mais de US$ 20 milhões em tentativas de fraude foram vinculadas a esse mercado de kits de phishing.
O escritório de campo do FBI em Atlanta e as autoridades indonésias desmantelaram a plataforma global de phishing “W3LL”, apreendendo infraestrutura e prendendo o suposto desenvolvedor no que é descrito como a primeira ação coordenada de aplicação da lei entre os Estados Unidos e a Indonésia visando um desenvolvedor de kit de phishing. A W3ll Store era um kit de phishing e um mercado on-line que permitia aos cibercriminosos roubar milhares de credenciais e tentar fraudes com mais de US$ 20 milhões. “Este site foi apreendido como parte de uma ação coordenada de aplicação da lei tomada contra a W3LL STORE”, diz uma mensagem de apreensão no site da w3ll[.]store. "O domínio w3ll.store foi apreendido pelo Federal Bureau of Investigation de acordo com um mandado de apreensão emitido de acordo com 18 U.S.C.
§§ 981 e 982 pelo Tribunal Distrital dos Estados Unidos para o Distrito Norte da Geórgia como parte de uma ação conjunta de aplicação da lei pelo Federal Bureau of Investigation." Banner de apreensão mostrado no site da W3LL Store Fonte: BleepingComputer O kit de phishing W3LL foi vendido por US$ 500 e permitiu que invasores criassem réplicas convincentes de portais de login corporativos para coletar credenciais. O kit permitiu que os agentes de ameaças capturassem tokens de sessão de autenticação, permitindo que os invasores contornassem a autenticação multifator e obtivessem acesso a contas comprometidas. Administração do W3LL Store e do painel W3LL Fonte: Group-IB O agente da ameaça também ofereceu um mercado chamado W3LLSTORE, onde credenciais roubadas e acesso não autorizado à rede eram comprados e vendidos. “Isso não era apenas phishing – era uma plataforma de serviço completo para crimes cibernéticos”, disse o agente especial do FBI, Marlo Graham.
As autoridades dizem que o mercado facilitou a venda de mais de 25.000 contas comprometidas entre 2019 e 2023 e, mesmo após o encerramento do W3LLSTORE, a operação continuou através de plataformas de mensagens criptografadas, onde o kit de ferramentas foi renomeado e vendido a outros atores de ameaças. Entre 2023 e 2024, o kit de phishing foi usado para atingir mais de 17.000 vítimas em todo o mundo, com os investigadores descobrindo que o desenvolvedor coletou e revendeu o acesso a contas comprometidas. A plataforma de phishing W3LL estava anteriormente vinculada a campanhas direcionadas a contas corporativas do Microsoft 365 e foi projetada para oferecer suporte a ataques de comprometimento de e-mail comercial (BEC) desde o acesso inicial até a pós-exploração. O kit de phishing dependia de ataques adversários intermediários, que ocorrem quando portais de login legítimos são proxy por meio da infraestrutura de um invasor.
Isso permite que os agentes da ameaça monitorem e interceptem credenciais, códigos de MFA únicos e cookies de sessão em tempo real. Esses cookies de sessão poderiam então ser usados para fazer login nas contas comprometidas sem acionar desafios de autenticação MFA. Uma vez obtido o acesso, os invasores monitorariam caixas de entrada, criariam regras de e-mail e se passariam por vítimas para cometer fraudes em faturas e redirecionar pagamentos em ataques BEC.