O nouă platformă PhaaS numită VENOM fură autentificări Microsoft - țintește CEO, CFO și VP din mai multe industrii

O nouă platformă de phishing numită „VENOM” vizează conturile Microsoft ale executivilor de top , potrivit BleepingComputer . Atacurile urmăresc furtul de credențiale pentru persoane din conducerea companiilor (CEO, CFO, vicepreședinți) din mai multe industrii, iar operațiunea ar fi activă cel puțin din noiembrie anul trecut. Platforma este descrisă ca un serviciu de tip „phishing-as-a-service” (PhaaS), adică o infrastructură „la cheie” pe care infractorii o pot folosi pentru a derula campanii de furt de date de autentificare. Cercetătorii citați de publicație spun că VENOM pare să fie cu acces restricționat, nefiind promovat pe canale publice sau pe forumuri clandestine, ceea ce îi reduce vizibilitatea pentru comunitatea de securitate. Cum arată lanțul de atac: de la e-mail la furtul sesiunii Cercetătorii companiei de securitate Abnormal au observat e-mailuri care imitau notificări Microsoft SharePoint privind partajarea de documente, prezentate ca parte a comunicării interne. Mesajele sunt personalizate și includ „zgomot” în codul HTML (de exemplu clase CSS false și comentarii), plus fire de conversație fabricate, adaptate țintei, pentru a crește credibilitatea. Un element central este folosirea unui cod QR redat în Unicode, pe care victima este îndemnată să îl scaneze pentru „acces”. Scopul este ocolirea unor mecanisme automate de analiză a linkurilor și mutarea interacțiunii pe dispozitive mobile, unde controalele pot fi diferite față de cele de pe stațiile de lucru din companie. „Fragmentele nu sunt niciodată transmise în cererile HTTP, făcând e-mailul țintei invizibil pentru jurnalele de pe server și pentru fluxurile de reputație ale URL-urilor”, explică cercetătorii Abnormal. Tehnici folosite: AiTM și „device code”, cu impact asupra MFA După scanarea codului QR, victima ajunge pe o pagină intermediară care filtrează cercetătorii și mediile de analiză (sandbox), astfel încât doar țintele „reale” să fie redirecționate către pagina de phishing. Utilizatorii care nu sunt de interes sunt trimiși către site-uri legitime, pentru a reduce suspiciunile. Pentru colectarea datelor, VENOM folosește o metodă de tip „adversary-in-the-middle” (AiTM), în care atacatorul intermediază în timp real fluxul de autentificare Microsoft, retransmițând credențialele și codurile de autentificare multifactor (MFA) către interfețele Microsoft și capturând „tokenul de sesiune” (cheia care poate menține accesul fără reintroducerea parolei). Separat, Abnormal a observat și o tactică de tip „device-code phishing”, în care victima este păcălită să aprobe accesul la cont pentru un dispozitiv controlat de atacator. În ambele scenarii, obiectivul este obținerea rapidă a accesului persistent în timpul autentificării: fie prin înregistrarea unui dispozitiv nou în contul victimei (în fluxul AiTM), fie prin obținerea unui token care oferă acces (în fluxul „device code”). Cercetătorii avertizează că MFA, de una singură, nu mai este suficientă și recomandă autentificare FIDO2 (chei de securitate sau metode rezistente la phishing), dezactivarea fluxului „device code” când nu este necesar și politici mai stricte de acces condiționat pentru a limita abuzul de tokenuri. [...]