Bedrohungsakteure nutzen eine bisher undokumentierte Phishing-as-a-Service (PhaaS)-Plattform namens **VENOM**, um die Anmeldeinformationen von C-Suite-Führungskräften in mehreren Sektoren ins Visier zu nehmen. Diese seit mindestens letztem November aktive Operation zielt speziell auf Personen in Positionen wie CEOs, CFOs und VPs ab. **VENOM** scheint eine geschlossene Plattform zu sein, die keine Werbung auf öffentlichen Kanälen oder in Underground-Foren macht, wodurch ihre Exposition gegenüber Sicherheitsforschern begrenzt wird. ### Die VENOM-Angriffskette Die von Forschern bei **Abnormal** beobachteten Phishing-E-Mails imitieren **Microsoft SharePoint**-Dokumentfreigabenachrichten und ahmen interne Kommunikation nach. Die Nachrichten sind hochgradig personalisiert und enthalten zufällige HTML-Rauschmuster wie gefälschte CSS-Klassen und Kommentare. Angreifer fügen auch gefälschte E-Mail-Threads ein, die auf das Ziel zugeschnitten sind, um die Glaubwürdigkeit zu erhöhen. Ein in Unicode gerenderter QR-Code wird dem Opfer zum Scannen angeboten. Diese Taktik soll Scan-Tools umgehen und den Angriff auf mobile Geräte verlagern.  „Die E-Mail-Adresse des Ziels ist im URL-Fragment – dem Teil nach dem #-Zeichen – doppelt Base64-codiert“, erklären die **Abnormal**-Forscher. „Fragmente werden niemals in HTTP-Anfragen übertragen, wodurch die E-Mail des Ziels für serverseitige Protokolle und URL-Reputations-Feeds unsichtbar bleibt.“ Nach dem Scannen des QR-Codes werden die Opfer auf eine Landingpage weitergeleitet, die Sicherheitsforscher und Sandbox-Umgebungen herausfiltert, um sicherzustellen, dass nur echte Ziele auf die Phishing-Plattform umgeleitet werden. Benutzer, die außerhalb des Interesses des Angreifers liegen, werden auf legitime Websites umgeleitet, um keinen Verdacht zu erregen. Diejenigen, die die Tests bestehen, werden zu einer Anmeldeinformations-Ernteraseite weitergeleitet, die einen **Microsoft**-Login-Flow in Echtzeit proxy-basiert, Anmeldeinformationen und Multi-Faktor-Authentifizierungs (MFA)-Codes an **Microsoft**-APIs weiterleitet und das Sitzungstoken erfasst.  Neben der Adversary-in-the-Middle (AiTM)-Technik hat **Abnormal** auch eine Device-Code-Phishing-Taktik beobachtet, bei der Opfer dazu verleitet werden, den Zugriff auf ihr **Microsoft**-Konto für ein bösartiges Gerät zu genehmigen.  Diese Methode hat aufgrund ihrer Effektivität und Resistenz gegen Passwort-Resets an Popularität gewonnen, wobei mindestens 11 Phishing-Kits sie anbieten. Bei beiden Methoden stellt **VENOM** während des Authentifizierungsprozesses schnell einen persistenten Zugriff her. Im AiTM-Flow registriert es ein neues Gerät im Konto des Opfers. Im Device-Code-Flow erhält es ein Token, das ebenfalls Zugriff auf das Konto gewährt. Forscher betonen, dass MFA allein keine ausreichende Verteidigung mehr darstellt. C-Suite-Führungskräfte sollten FIDO2-Authentifizierung einführen, den Device-Code-Flow deaktivieren, wenn er nicht benötigt wird, und strengere bedingte Zugriffspolicies implementieren, um Token-Missbrauch zu blockieren.