Des acteurs malveillants exploitent une plateforme de phishing jusqu’alors inconnue, nommée VENOM, pour cibler les identifiants des dirigeants dans divers secteurs d’activité. Cette opération est active depuis au moins novembre dernier et vise spécifiquement des individus occupant des postes de PDG, CFO ou VP au sein de leurs entreprises.
La nature confinée de VENOM se traduit par le fait qu’elle n’est pas promue sur des canaux publics ou des forums clandestins, limitant ainsi son exposition face aux chercheurs en cybersécurité.
La chaîne d’attaque de VENOM
Les courriels de phishing, observés par des chercheurs de la société Abnormal, se font passer pour des notifications de partage de documents Microsoft SharePoint, masquant leur véritable intention derrière une communication interne. Ces messages, ultra-personnalisés, incluent des éléments HTML aléatoires tels que de fausses classes CSS et des commentaires, ajoutant ainsi à leur crédibilité.
Un QR code, rendu en Unicode, est inclus pour que la victime puisse le scanner et gagner un accès supposé. Ce stratagème vise à contourner les outils de détection et à transférer l’attaque vers les appareils mobiles.
Source: Abnormal
Les chercheurs d’Abnormal expliquent que l’adresse e-mail de la cible est encodée deux fois en Base64 dans le fragment URL — la partie située après le caractère #. Ce détail est crucial, car les fragments ne sont jamais transmis dans les requêtes HTTP, rendant l’adresse invisible pour les journaux côté serveur et les flux de réputation d’URL.
Une fois le QR code scanné, la victime est redirigée vers une page d’atterrissage qui filtre les chercheurs en sécurité et les environnements sandbox, garantissant que seuls les réels cibles sont orientés vers la plateforme de phishing. Les utilisateurs non visés sont redirigés vers des sites web légitimes pour atténuer les soupçons.
Les utilisateurs qui passent cette vérification sont dirigés vers une page de collecte d’identifiants qui simule en temps réel un processus de connexion à Microsoft, relayant les identifiants et les codes d’authentification multifacteur (MFA) vers les API de Microsoft tout en capturant le jeton de session.
Source: Abnormal
En plus de la méthode adversary-in-the-middle (AiTM), Abnormal a également observé une tactique de phishing par code de dispositif, qui induit la victime à approuver l’accès à son compte Microsoft pour un appareil contrefait.
Source: Abnormal
Cette technique s’est répandue au cours de l’année écoulée en raison de son efficacité et de sa résistance aux réinitialisations de mots de passe, avec au moins 11 kits de phishing l’offrant comme option.
Dans les deux méthodes, VENOM établit rapidement un accès persistant durant le processus d’authentification. Dans le flux AiTM, il enregistre un nouvel appareil sur le compte de la victime. Dans le cas du flux de code de dispositif, il obtient un jeton permettant également d’accéder au compte.
Les chercheurs soulignent que la MFA ne suffit plus comme protection. Les responsables de haut niveau doivent adopter l’authentification FIDO2, désactiver le flux de code de dispositif quand ce n’est pas nécessaire, et bloquer l’abus de jetons en mettant en œuvre des politiques d’accès conditionnel plus strictes.