VENOM phishing platform gađa Microsoft naloge direktora i višeg menadžmenta
BleepingComputer piše o do sada nedokumentovanoj phishing-as-a-service platformi VENOM, koja cilja Microsoft naloge direktora, finansijskih rukovodilaca i drugih članova višeg menadžmenta. Kampanja koristi personalizovane poruke koje glume SharePoint obaveštenja, Unicode QR kodove za preusmeravanje na mobilne uređaje i filter stranice koje pokušavaju da izbegnu istraživače i sandbox okruženja. Kada žrtva prođe taj prvi sloj, VENOM koristi AiTM pristup ili device-code phishing kako bi prikupio kredencijale, MFA kodove i aktivne sesione tokene, a zatim brzo uspostavio trajniji pristup nalogu.
Najneugodniji deo ove kampanje je što više ne lovi široku masu, već tačno određene ljude koji imaju novac, autoritet i pristup osetljivim podacima. Kad napad uzme i sesiju ili registruje novi uređaj, promena lozinke sama po sebi često više nije dovoljna da preseče problem.
- Uvesti FIDO2 autentikaciju za direktore i druge naloge visokog rizika
- Isključiti device code flow gde nije poslovno neophodan
- Pojačati conditional access pravila za nove uređaje, neobične lokacije i rizične sesije
- Upozoriti rukovodioce da ne skeniraju QR kodove iz navodnih SharePoint ili Microsoft poruka bez provere
- Pratiti registraciju novih uređaja i upotrebu sesionih tokena odmah posle uspešne prijave