Le FBI et la police indonésienne ont démantelé W3LL, une plateforme de phishing particulièrement redoutable. Active depuis de longue années, elle permettait à des pirates en herbe de contourner la double authentification pour mener des cyberattaques ciblées.
Il y a près de trois ans, les chercheurs de Group-IB ont découvert l’existence d’une vaste infrastructure criminelle spécialisée dans le phishing, W3LL. Opérant sous le radar depuis 2017 sur Telegram, la plateforme propose à ses abonnés un catalogue complet d’outils clé en main pour mener des cyberattaques, sans nécessiter la moindre expertise technique. Parmi les armes de l’arsenal de W3LL, on trouve un kit dédié au piratage de comptes Microsoft Office 365.
Des années après sa mise en lumière, W3LL vient d’être démantelé par les forces de l’ordre. En collaboration avec la police nationale indonésienne, le FBI vient de mettre un terme aux activités du service de phishing. Le nom de domaine, w3ll.store, a été saisi par les autorités. Sur celui-ci, on aperçoit désormais la traditionnelle bannière de l’agence fédérale américaine, qui stipule que « ce domaine a été saisi par le Federal Bureau of Investigation dans le cadre d’une action conjointe des forces de l’ordre ». Dans la foulée, les agents du FBI ont procédé à l’arrestation du développeur présumé de la plateforme, désigné sous les initiales « G.L. ».
À lire aussi : les pirates du dark web ont adopté un langage secret, et il vient d’être déchiffré
Une plateforme de phishing qui contourne la double authentification
Comme l’explique le FBI, la plateforme de phishing avait trouvé le moyen de contourner la double authentification, qu’on présente souvent comme le rempart ultime contre les cyberattaques. L’infrastructure de l’attaquant se plaçait en intermédiaire invisible entre la victime et le vrai site, interceptant en temps réel les identifiants, les codes à usage unique et les cookies de session. Une fois ces accès obtenus, les attaquants pouvaient surveiller les boîtes mail des victimes et usurper leur identité pour détourner des paiements. Le kit était surtout utilisé pour piéger les employés d’entreprises. Entre 2023 et 2025, la plateforme a fait plus de 17 000 victimes dans le monde.
En plus des kits de piratage, l’empire W3LL se composait d’une marketplace en ligne. Sur celle-ci, les pirates pouvaient vendre ou acheter des données compromises. Active pendant quatre ans, elle comptait plus de 500 utilisateurs actifs et plus de 12 000 articles listés à la vente. La marketplace a rapporté des centaines de milliers de dollars, avant de fermer en 2023 quand l’enquête de Group-IB a levé le voile sur les activités des pirates. Les ventes n’ont pas cessé pour autant. En fait, les transactions se sont simplement déplacées sur des applications de messagerie chiffrée, comme Telegram.
« Ce n’était pas du simple phishing — c’était une plateforme de cybercriminalité proposant tous les services », déclare l’agent Marlo Graham du FBI.
L’essor des plateformes de phising
Le cas W3LL illustre une tendance majeur dans le paysage de la cybercriminalité, à savoir la montée en puissance du Phishing-as-a-Service (PhaaS). Ces plateformes, de plus en plus nombreuses, permettent à des individus sans compétences techniques avancées de mener des attaques sophistiquées et potentiellement dévastatrices. « Pour environ 500 dollars, les utilisateurs pouvaient acheter l’accès au kit de phishing et déployer de faux sites web conçus pour ressembler à s’y méprendre aux portails de connexion de confiance, » souligne le FBI. C’est pourquoi les autorités concentrent de plus en plus leurs efforts sur la destruction de ces infrastructures.
Le mois dernier, une redoutable plateforme de phishing intitulée Tycoon2FA a d’ailleurs été fermée de force par Europol, avec l’appui de Microsoft. Les infrastructures pirates font souvent preuve d’une résilience à toute épreuve. En moins de deux semaines, Tycoon2FA était d’ailleurs de retour en ligne. Gageons que la disparition de W3LL sera plus définitive… Quoi qu’il en soit, la chute de W3LL marque un nouveau coup dur pour l’écosystème criminel, après la fermeture de LeakBase ou de HeartSender.
👉🏻 Suivez l’actualité tech en temps réel : ajoutez 01net à vos sources sur Google, et abonnez-vous à notre canal WhatsApp.
Source :
FBI