Nieuwe Phishing-aanvallen via VENOM stelen Microsoft-logins van topbestuurders

Een tot nu toe onbekend phishing-as-a-service platform, "VENOM", richt zich op inloggegevens van topbestuurders in diverse industrieën.

Deze operatie is actief sinds ten minste november vorig jaar en richt zich specifiek op CEO’s, CFO’s en VP’s van verschillende bedrijven. VENOM lijkt exclusief te zijn, omdat het niet op openbare kanalen of undergroundforums wordt gepromoot, wat de zichtbaarheid voor onderzoekers vermindert.

De VENOM-aanvalsmethode

Onderzoekers van het cybersecuritybedrijf Abnormal hebben ontdekt dat de phishing-mails zich voordoen als Microsoft SharePoint-meldingen. De berichten zijn gepersonaliseerd en bevatten veel nep-HTML en valse e-mailgesprekken om geloofwaardiger over te komen.

Een QR-code in Unicode nodigt het slachtoffer uit om deze te scannen, om zo scanners te omzeilen en de aanval naar mobiele apparaten te verplaatsen.

Wanneer het slachtoffer de QR-code scant, wordt hij naar een landingspagina geleid die fungeert als filter voor beveiligingsonderzoekers. Alleen de echte doelwitten worden doorgestuurd naar het phishingplatform, terwijl anderen naar legitieme websites worden omgeleid om argwaan te voorkomen.

Slachtoffers die de tests doorstaan, komen op een pagina waar hun inloggegevens worden verzameld. Deze pagina imiteert in real-time een Microsoft-inlogproces en verzamelt wachtwoorden en multi-factor authenticatiecodes.

Naast de tussenpersoon-methode (AiTM) heeft Abnormal ook een tactiek ontdekt waarbij slachtoffers worden misleid om toegang voor een kwaadaardig apparaat goed te keuren. Deze methode is populair vanwege zijn effectiviteit en bestendigheid tegen wachtwoordresets, met minstens 11 phishingkits die het aanbieden.

In beide gevallen zorgt VENOM snel voor blijvende toegang tijdens het authenticatieproces door een nieuw apparaat op het account van het slachtoffer te registreren of door een token te verkrijgen dat toegang biedt.

Onderzoekers benadrukken dat MFA alleen niet meer voldoende is als verdediging. Bestuurders moeten FIDO2-authenticatie gebruiken, de apparaatcode-functie uitschakelen wanneer niet nodig, en strengere toegangsregels implementeren.

---

Automatische pentests tonen kwetsbaarheden aan. BAS laat zien of je beveiligingen deze tegenhouden. Dit whitepaper verkent zes validatiegebieden en geeft drie diagnostische vragen om tools te evalueren.

Zorg dat je goed voorbereid bent. Download nu je exemplaar.

---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ----
Opzoek naar de laatste updates uit onze securitylog?
Inhoud mede mogelijk gemaakt door OpenAI.