Los actores de amenazas están aprovechando una plataforma de phishing-as-a-service (PhaaS) previamente indocumentada llamada **VENOM** para atacar las credenciales de ejecutivos de alto nivel en múltiples sectores. Esta operación, activa desde al menos el pasado noviembre, se dirige específicamente a personas que ocupan puestos como CEOs, CFOs y VPs. **VENOM** parece ser una plataforma de acceso cerrado, que carece de promoción en canales públicos o foros clandestinos, limitando así su exposición a investigadores de seguridad. ### La Cadena de Ataque de VENOM Los correos electrónicos de phishing, observados por investigadores de **Abnormal**, suplantan las notificaciones de uso compartido de documentos de **Microsoft SharePoint**, imitando comunicaciones internas. Los mensajes están altamente personalizados, incorporando ruido HTML aleatorio como clases CSS falsas y comentarios. Los atacantes también inyectan hilos de correo electrónico falsos adaptados al objetivo, mejorando la credibilidad. Se proporciona un código QR renderizado en Unicode para que la víctima lo escanee. Esta táctica está diseñada para eludir las herramientas de escaneo y trasladar el ataque a dispositivos móviles.  "La dirección de correo electrónico del objetivo está codificada dos veces en Base64 en el fragmento de la URL, la porción después del carácter #", explican los investigadores de **Abnormal**. "Los fragmentos nunca se transmiten en las solicitudes HTTP, lo que hace que el correo electrónico del objetivo sea invisible para los registros del lado del servidor y las fuentes de reputación de URL". Al escanear el código QR, las víctimas son dirigidas a una página de destino que filtra a los investigadores de seguridad y entornos de sandboxing, asegurando que solo los objetivos genuinos sean redirigidos a la plataforma de phishing. Los usuarios considerados fuera del interés del atacante son redirigidos a sitios web legítimos para evitar levantar sospechas. Aquellos que pasan las pruebas son llevados a una página de recolección de credenciales que actúa como proxy de un flujo de inicio de sesión de **Microsoft** en tiempo real, transmitiendo credenciales y códigos de autenticación multifactor (MFA) a las APIs de **Microsoft** y capturando el token de sesión.  Además de la técnica de adversario en el medio (AiTM), **Abnormal** también ha observado una táctica de phishing de códigos de dispositivo donde las víctimas son engañadas para aprobar el acceso a su cuenta de **Microsoft** para un dispositivo no autorizado.  Este método ha ganado popularidad debido a su efectividad y resistencia a los restablecimientos de contraseña, con al menos 11 kits de phishing que lo ofrecen. En ambos métodos, **VENOM** establece rápidamente un acceso persistente durante el proceso de autenticación. En el flujo AiTM, registra un nuevo dispositivo en la cuenta de la víctima. En el flujo de código de dispositivo, obtiene un token que también proporciona acceso a la cuenta. Los investigadores enfatizan que la MFA por sí sola ya no es una defensa suficiente. Los ejecutivos de alto nivel deberían adoptar la autenticación FIDO2, deshabilitar el flujo de código de dispositivo cuando no sea necesario e implementar políticas de acceso condicional más estrictas para bloquear el abuso de tokens.