Нов доклад на Abnormal AI разкрива мащабна и изключително добре прикрита кампания за кражба на корпоративни акаунти, насочена към C‑level ръководители и висши служители в глобални организации. Атаката, наречена VENOM, е активна поне пет месеца, от ноември 2025 до март 2026, и е изградена така, че да остане невидима на всеки етап от веригата.
VENOM използва комбинация от прецизно конструирани имейли, които заобикалят филтри и сигнатурни системи, и QR кодове, които елиминират нуждата от кликаеми линкове и скриват самоличността на жертвата от сървърните логове. Това позволява на атакуващите да преместят сесията извън корпоративната мрежа още преди защитите да реагират.
Съдържание на статията
Двуфазна инфраструктура за кражба на акаунти
Според анализа VENOM разполага с два различни механизма за придобиване на достъп:
- Adversary‑in‑the‑Middle (AiTM) – прихваща в реално време Microsoft login потока, включително MFA, и регистрира собствен authenticator в акаунта на жертвата, преди браузърът да бъде пренасочен.
- Device Code Flow – жертвата се удостоверява директно в microsoft.com, а Microsoft изпраща OAuth токените към бекенда на атакуващия, без да се показва форма за въвеждане на парола.
И двата метода превръщат еднократното удостоверяване в дълготраен достъп, но чрез различни механизми и с различна устойчивост срещу последващо отнемане на достъпа.
VENOM: затворена PhaaS платформа с професионална структура
Докладът описва VENOM като phishing‑as‑a‑service платформа с лицензиране и активация, структурирано съхранение на токени и като пълнофункционален интерфейс за управление на кампании.
Платформата не фигурира в публични бази данни за заплахи и не се среща в подземни форуми, което подсказва, че се разпространява само в затворени, проверени кръгове.
Особено впечатляващо е, че всеки етап от атаката защитава следващия: имейлът преминава през филтрите, QR кодът премества сесията извън мрежата, gateway‑ът блокира анализатори, а harvester‑ът приключва работата си, преди браузърът да е преминал към следващата страница.
Заключенията: MFA вече не е последната линия на защита
Авторите на доклада предупреждават, че VENOM представлява сериозно увеличен риск. Затворената PhaaS архитектура означава, че подобни атаки няма да останат ограничени до един оператор. Организациите трябва да приемат, че техниките ще се разпространяват и че защитните стратегии, базирани единствено на MFA, вече не са достатъчни.
