Des acteurs de la menace exploitent une plateforme de phishing-as-a-service (PhaaS) jusqu'alors non documentée, nommée **VENOM**, pour cibler les identifiants des cadres dirigeants dans plusieurs secteurs. Cette opération, active depuis au moins novembre dernier, vise spécifiquement des individus occupant des postes tels que PDG, CFO et VP. **VENOM** semble être une plateforme à accès fermé, sans promotion sur les canaux publics ou les forums underground, limitant ainsi son exposition aux chercheurs en sécurité. ### La chaîne d'attaque VENOM Les e-mails de phishing, observés par les chercheurs d'**Abnormal**, usurpent les notifications de partage de documents de **Microsoft SharePoint**, imitant les communications internes. Les messages sont hautement personnalisés, intégrant du bruit HTML aléatoire comme de fausses classes CSS et des commentaires. Les attaquants injectent également de fausses conversations par e-mail adaptées à la cible, renforçant la crédibilité. Un QR code rendu en Unicode est fourni à la victime pour être scanné. Cette tactique est conçue pour contourner les outils d'analyse et transférer l'attaque vers les appareils mobiles.  « L'adresse e-mail de la cible est doublement encodée en Base64 dans le fragment d'URL — la partie après le caractère # », expliquent les chercheurs d'**Abnormal**. « Les fragments ne sont jamais transmis dans les requêtes HTTP, rendant l'e-mail de la cible invisible pour les journaux côté serveur et les flux de réputation d'URL. » Après avoir scanné le QR code, les victimes sont dirigées vers une page de destination qui filtre les chercheurs en sécurité et les environnements sandboxés, garantissant que seules les véritables cibles sont redirigées vers la plateforme de phishing. Les utilisateurs jugés hors de l'intérêt de l'attaquant sont redirigés vers des sites web légitimes pour éviter de susciter des soupçons. Ceux qui réussissent les tests sont dirigés vers une page de récolte d'identifiants qui proxifie un flux de connexion **Microsoft** en temps réel, transmettant les identifiants et les codes d'authentification multi-facteurs (MFA) aux **API Microsoft** et capturant le jeton de session.  Outre la technique adversary-in-the-middle (AiTM), **Abnormal** a également observé une tactique de phishing par code d'appareil où les victimes sont amenées à approuver l'accès à leur compte **Microsoft** pour un appareil non autorisé.  Cette méthode a gagné en popularité en raison de son efficacité et de sa résistance à la réinitialisation des mots de passe, avec au moins 11 kits de phishing l'offrant. Dans les deux méthodes, **VENOM** établit rapidement un accès persistant pendant le processus d'authentification. Dans le flux AiTM, il enregistre un nouvel appareil sur le compte de la victime. Dans le flux de code d'appareil, il obtient un jeton qui fournit également un accès au compte. Les chercheurs soulignent que la MFA seule n'est plus une défense suffisante. Les cadres dirigeants devraient adopter l'authentification FIDO2, désactiver le flux de code d'appareil lorsqu'il n'est pas nécessaire, et mettre en œuvre des politiques d'accès conditionnel plus strictes pour bloquer l'abus de jetons.