أعلنت مكتب التحقيقات الفيدرالي (FBI) بالتعاون مع الشرطة الوطنية الإندونيسية عن تفكيك البنية التحتية المرتبطة بعملية تصيّد عالمية استخدمت أداة جاهزة تُعرف باسم W3LL لسرقة بيانات اعتماد آلاف الحسابات ومحاولة تنفيذ عمليات احتيال تجاوزت قيمتها 20 مليون دولار.
السلطات اعتقلت المطوّر المشتبه به، المعروف باسم G.L، وصادرت نطاقات أساسية مرتبطة بالمخطط. وأكدت الـ FBI أن هذه الخطوة “تقطع موردًا رئيسيًا كان يستخدمه مجرمو الإنترنت للوصول غير المصرح به إلى حسابات الضحايا”.
أداة W3LL: منصة تصيّد كاملة الخدمات
أداة التصيّد W3LL مكّنت المهاجمين من إنشاء صفحات تسجيل دخول مزيفة تحاكي المواقع الشرعية لخداع الضحايا وتسليم بياناتهم. كانت تُباع مقابل نحو 500 دولار، وتتيح للمجرمين نشر مواقع وهمية لجمع بيانات الدخول.
وصفها المسؤولون بأنها ليست مجرد أداة تصيّد، بل “منصة متكاملة للجريمة الإلكترونية”، إذ تضمنت خدمات متنوعة مثل أدوات تصيّد مخصصة، قوائم بريدية، وصول إلى خوادم مخترقة، وحتى بيع بيانات اعتماد مسروقة.
خلفية تاريخية للشبكة
تم توثيق نشاط W3LL لأول مرة في سبتمبر 2023 من قبل شركة Group-IB، حيث كشفت عن سوق تحت الأرض يُعرف باسم W3LL Store، كان يخدم نحو 500 فاعل تهديد. هذا السوق أتاح شراء لوحة التحكم الخاصة بالتصيّد (W3LL Panel) إلى جانب أدوات أخرى لهجمات BEC (اختراق البريد الإلكتروني للأعمال).
المطور وراء هذه الخدمة كان نشطًا منذ عام 2017، وسبق أن طور أدوات إرسال بريد عشوائي مثل PunnySender وW3LL Sender. بين عامي 2019 و2023، تم بيع أكثر من 25 ألف حساب مخترق عبر المتجر.
تقنيات متقدمة لتجاوز الحماية
بحسب تقارير أمنية، ركزت W3LL بشكل أساسي على بيانات اعتماد Microsoft 365، مستخدمةً تقنية Adversary-in-the-Middle (AiTM) لاعتراض ملفات تعريف الجلسات وتجاوز المصادقة متعددة العوامل.
كما أظهرت تحليلات لاحقة أن بعض أدوات التصيّد الأخرى مثل Sneaky 2FA أعادت استخدام أجزاء من كود W3LL، وأن نسخًا مقرصنة من الأداة انتشرت خلال السنوات الماضية. ورغم إغلاق W3LL Store في 2023، استمر النشاط عبر منصات رسائل مشفرة، حيث أعيد تسويق الأداة واستُخدمت لاستهداف أكثر من 17 ألف ضحية حول العالم بين 2023 و2024.
