Содержание
VENOM — новый фишинговый набор, который точечно атакует директоров и C-Suite, обращаясь к ним по имени. Исследователи из Abnormal описали кампанию, где письма маскируют под уведомления SharePoint и вытягивают не только логины и пароли, но и 2FA-коды и токены доступа.
Угол этой истории простой: это не массовая рассылка «на удачу». Злоумышленники выбирают конкретных руководителей крупных международных компаний и под них подстраивают письмо и сценарий входа.
VENOM выглядит как закрытая платформа, а не «слив» с форумов
По данным Abnormal, этот набор пока не всплывал в публичных базах threat intelligence. Его также не наблюдали в продаже на даркнет-форумах. Исследователи считают, что это похоже на закрытую платформу с доступом по проверенным каналам.
У VENOM описана взрослая «продуктовая» начинка. Внутри есть модель лицензирования и активации, структурированное хранилище токенов и полноценный интерфейс управления кампаниями.
Письма копируют SharePoint и прячут QR-код в Unicode
Входная точка атаки — письма под тему шаринга документов в SharePoint. Жертве показывают, что ей «выдали документ», и просят отсканировать QR-код для доступа.
Сам QR-код сделан нетипично. Вместо картинки злоумышленники собрали его из Unicode-блоков, которые рендерятся внутри HTML. Идея понятна: так сложнее поймать вложение или картинку на уровне почтовых фильтров.
Дальше идет отсев защитников и кража 2FA или токенов
После сканирования QR-кода жертву сначала ведут на поддельный «верификационный» чекпойнт. Он нужен, чтобы отфильтровать ботов, сканеры, песочницы и исследователей.
- Логин + пароль + 2FA-код: злоумышленники крадут учетные данные и перехватывают/ретранслируют 2FA.
- Device sign-in через Microsoft device code flow: сценарий использует легитимный поток входа и на выходе дает атакующим токены доступа.
Abnormal прямо указывает, что цель — не только пароль. В этой схеме у нападающих в приоритете 2FA-коды и access tokens, потому что они дают быстрый доступ к корпоративным сервисам.
Abnormal отдельно подчеркивает: на момент наблюдений VENOM не фигурировал в публичных TI-базах и не светился на даркнет-площадках, что косвенно указывает на закрытое распространение.
