Atores de ameaça estão usando uma plataforma de phishing-as-a-service (PhaaS) até então não documentada, chamada “VENOM”, para mirar credenciais de executivos de alto escalão em vários setores.
A operação está ativa desde pelo menos novembro do ano passado e parece focar indivíduos específicos que ocupam cargos como CEO, CFO ou VP em suas empresas.
O VENOM também aparenta operar em um modelo de acesso fechado, já que não foi divulgado em canais públicos nem em fóruns da dark web, o que reduz sua exposição a pesquisadores.
Os e-mails de phishing, observados por pesquisadores da empresa de cibersegurança Abnormal, imitavam notificações de compartilhamento de documentos do Microsoft SharePoint como parte de uma comunicação interna.
As mensagens são altamente personalizadas e incluem ruído HTML aleatório, como classes CSS falsas e comentários.
O atacante também injeta conversas falsas de e-mail adaptadas ao alvo, aumentando a credibilidade da fraude.
Para acesso, é apresentado um QR code renderizado em Unicode, que a vítima deve escanear.
A técnica foi projetada para burlar ferramentas de varredura e transferir o ataque para dispositivos móveis.
“O endereço de e-mail do alvo é codificado duas vezes em Base64 no fragmento da URL, a parte depois do caractere #”, explicam os pesquisadores da Abnormal.
“Fragmentos nunca são transmitidos em requisições HTTP, então o e-mail da vítima fica invisível para logs do lado do servidor e feeds de reputação de URL.”
Ao escanear o QR code, a vítima é levada a uma página intermediária que funciona como filtro para pesquisadores de segurança e ambientes sandbox, garantindo que apenas alvos reais sejam redirecionados para a plataforma de phishing.
Usuários fora do interesse dos criminosos são enviados para sites legítimos, o que reduz suspeitas.
Quem passa pelos testes é direcionado a uma página de coleta de credenciais que faz proxy, em tempo real, do fluxo de login da Microsoft, repassando credenciais e códigos de autenticação multifator (MFA) para as APIs da Microsoft e capturando o token de sessão.
Além do método adversary-in-the-middle (AiTM), a Abnormal também observou uma técnica de phishing baseada em device code, na qual a vítima é enganada para aprovar o acesso à sua conta Microsoft por um dispositivo malicioso.
Esse método se popularizou no último ano por ser eficaz e resistente a redefinições de senha, com pelo menos 11 phishing kits já oferecendo essa opção.
Nos dois casos, o VENOM consegue estabelecer acesso persistente rapidamente durante o processo de autenticação.
No fluxo AiTM, ele registra um novo dispositivo na conta da vítima.
No fluxo de device code, ele obtém um token que também dá acesso à conta.
Os pesquisadores alertam que o MFA já não é suficiente como defesa isolada.
Executivos de alto escalão devem adotar autenticação FIDO2, desativar o device code flow quando ele não for necessário e bloquear o abuso de tokens com políticas de conditional access mais rigorosas.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...