Atores de ameaças estão aproveitando uma plataforma de phishing-as-a-service (PhaaS) anteriormente indocumentada chamada **VENOM** para atingir as credenciais de executivos de alto escalão em múltiplos setores. Esta operação, ativa desde pelo menos novembro passado, visa especificamente indivíduos em posições como CEOs, CFOs e VPs. O **VENOM** parece ser uma plataforma de acesso restrito, sem promoção em canais públicos ou fóruns underground, limitando assim sua exposição a pesquisadores de segurança. ### A Cadeia de Ataque do VENOM Os e-mails de phishing, observados por pesquisadores da **Abnormal**, impersonam notificações de compartilhamento de documentos do **Microsoft SharePoint**, imitando comunicações internas. As mensagens são altamente personalizadas, incorporando ruído HTML aleatório como classes CSS falsas e comentários. Os atacantes também injetam threads de e-mail falsas adaptadas ao alvo, aumentando a credibilidade. Um código QR renderizado em Unicode é fornecido para a vítima escanear. Essa tática é projetada para contornar ferramentas de escaneamento e transferir o ataque para dispositivos móveis.  "O endereço de e-mail do alvo é duplamente codificado em Base64 no fragmento da URL — a porção após o caractere #", explicam os pesquisadores da **Abnormal**. "Fragmentos nunca são transmitidos em requisições HTTP, tornando o e-mail do alvo invisível para logs do lado do servidor e feeds de reputação de URL." Após escanear o código QR, as vítimas são direcionadas para uma página de destino que filtra pesquisadores de segurança e ambientes sandbox, garantindo que apenas alvos genuínos sejam redirecionados para a plataforma de phishing. Usuários considerados fora do interesse do atacante são redirecionados para sites legítimos para evitar levantar suspeitas. Aqueles que passam nos testes são levados a uma página de coleta de credenciais que atua como proxy para um fluxo de login da **Microsoft** em tempo real, retransmitindo credenciais e códigos de autenticação multifator (MFA) para APIs da **Microsoft** e capturando o token de sessão.  Além da técnica adversary-in-the-middle (AiTM), a **Abnormal** também observou uma tática de phishing de código de dispositivo onde as vítimas são enganadas para aprovar o acesso à sua conta **Microsoft** para um dispositivo não autorizado.  Este método ganhou popularidade devido à sua eficácia e resistência a redefinições de senha, com pelo menos 11 kits de phishing oferecendo-o. Em ambos os métodos, o **VENOM** estabelece rapidamente acesso persistente durante o processo de autenticação. No fluxo AiTM, ele registra um novo dispositivo na conta da vítima. No fluxo de código de dispositivo, ele obtém um token que também fornece acesso à conta. Pesquisadores enfatizam que a MFA sozinha não é mais uma defesa suficiente. Executivos de alto escalão devem adotar autenticação FIDO2, desabilitar o fluxo de código de dispositivo quando não for necessário e implementar políticas de acesso condicional mais rigorosas para bloquear o abuso de tokens.