Добавить в корзинуПозвонить
Найти в Дзене
TrashExpert.ru: главный эксперт по гаджетам, технологиям и лайфхакам
410 подписчиков

Фишинг-кампания VENOM бьет по топ-менеджерам через SharePoint

2 мин
VENOM — новый фишинговый набор, который точечно атакует директоров и C-Suite, обращаясь к ним по имени. Исследователи из Abnormal описали кампанию, где письма маскируют под уведомления SharePoint и вытягивают не только логины и пароли, но и 2FA-коды и токены доступа. Угол этой истории простой: это не массовая рассылка «на удачу». Злоумышленники выбирают конкретных руководителей крупных международных компаний и под них подстраивают письмо и сценарий входа. По данным Abnormal, этот набор пока не всплывал в публичных базах threat intelligence. Его также не наблюдали в продаже на даркнет-форумах. Исследователи считают, что это похоже на закрытую платформу с доступом по проверенным каналам. ❗️ ПОДПИСЫВАЙСЯ НА НАШ КАНАЛ В ДЗЕНЕ И ЧИТАЙ КРУТЫЕ СТАТЬИ БЕСПЛАТНО У VENOM описана взрослая «продуктовая» начинка. Внутри есть модель лицензирования и активации, структурированное хранилище токенов и полноценный интерфейс управления кампаниями. Входная точка атаки — письма под тему шаринга документов в
Оглавление

VENOM — новый фишинговый набор, который точечно атакует директоров и C-Suite, обращаясь к ним по имени. Исследователи из Abnormal описали кампанию, где письма маскируют под уведомления SharePoint и вытягивают не только логины и пароли, но и 2FA-коды и токены доступа.

Угол этой истории простой: это не массовая рассылка «на удачу». Злоумышленники выбирают конкретных руководителей крупных международных компаний и под них подстраивают письмо и сценарий входа.

VENOM выглядит как закрытая платформа, а не «слив» с форумов

По данным Abnormal, этот набор пока не всплывал в публичных базах threat intelligence. Его также не наблюдали в продаже на даркнет-форумах. Исследователи считают, что это похоже на закрытую платформу с доступом по проверенным каналам.

❗️ ПОДПИСЫВАЙСЯ НА НАШ КАНАЛ В ДЗЕНЕ И ЧИТАЙ КРУТЫЕ СТАТЬИ БЕСПЛАТНО

У VENOM описана взрослая «продуктовая» начинка. Внутри есть модель лицензирования и активации, структурированное хранилище токенов и полноценный интерфейс управления кампаниями.

Письма копируют SharePoint и прячут QR-код в Unicode

Входная точка атаки — письма под тему шаринга документов в SharePoint. Жертве показывают, что ей «выдали документ», и просят отсканировать QR-код для доступа.

Сам QR-код сделан нетипично. Вместо картинки злоумышленники собрали его из Unicode-блоков, которые рендерятся внутри HTML. Идея понятна: так сложнее поймать вложение или картинку на уровне почтовых фильтров.

Дальше идет отсев защитников и кража 2FA или токенов

После сканирования QR-кода жертву сначала ведут на поддельный «верификационный» чекпойнт. Он нужен, чтобы отфильтровать ботов, сканеры, песочницы и исследователей.

  • Логин + пароль + 2FA-код: злоумышленники крадут учетные данные и перехватывают/ретранслируют 2FA.
  • Device sign-in через Microsoft device code flow: сценарий использует легитимный поток входа и на выходе дает атакующим токены доступа.

Abnormal прямо указывает, что цель — не только пароль. В этой схеме у нападающих в приоритете 2FA-коды и access tokens, потому что они дают быстрый доступ к корпоративным сервисам.

Abnormal отдельно подчеркивает: на момент наблюдений VENOM не фигурировал в публичных TI-базах и не светился на даркнет-площадках, что косвенно указывает на закрытое распространение.

Подписывайтесь на наши каналы в Telegram и Дзен, чтобы узнавать больше. И делитесь своим мнением и опытом в нашем чате.

Фишинг-кампания VENOM бьет по топ-менеджерам через SharePoint ⚡️