- El kit de phishing Venom, como su nombre indica, está dirigido a ejecutivos de alto nivel
- El correo electrónico imita las notificaciones de SharePoint con códigos QR Unicode
- Los atacantes roban credenciales, códigos 2FA y tokens de acceso
Si trabaja como gerente o C-Suite en una gran organización global, esté atento a un nuevo ataque de phishing dirigido a usted por su nombre.
Los investigadores de seguridad de Uncommon han advertido sobre una campaña en la que los actores de amenazas seleccionan cuidadosamente sus objetivos y luego se acercan a ellos con un correo electrónico de phishing altamente personalizado, destinado a robar credenciales de inicio de sesión y códigos 2FA.
Todo el proceso se basa en un kit de phishing no documentado anteriormente llamado VENOM, que tiene un modelo de licencia y activación, almacenamiento de tokens estructurado y una interfaz completa de gestión de campañas.
El artículo continúa a continuación.
Robar privacidad
Lo inusual es que aún no ha aparecido en ninguna base de datos pública de inteligencia sobre amenazas y no se ha visto que se venda en foros de la web oscura. Esto significa que es probable que sea una plataforma de acceso cerrado que se distribuya a través de canales no probados.
Los correos electrónicos tienen como tema las notificaciones de uso compartido de documentos de SharePoint. Se hace creer a las víctimas que se les ha entregado un documento y se les invita a escanear el código QR proporcionado para acceder a él.
El código QR en sí es una obra de arte. En lugar de simplemente incrustar una imagen (que podría ser detectada por las soluciones de seguridad del correo electrónico), los actores de amenazas la crearon enteramente a partir de caracteres de bloque Unicode representados dentro de un HTML.
Aquellos que escanean el código primero son redirigidos a un punto de control de verificación falso, diseñado para filtrar bots, escáneres, zonas de pruebas e investigadores de seguridad. Después de pasar el punto de control, a las víctimas se les presenta una de dos formas de autenticarse: ya sea con credenciales de inicio de sesión y un código 2FA, o mediante el inicio de sesión en el dispositivo utilizando el flujo de código de dispositivo válido de Microsoft. El primero roba la contraseña y transmite el código 2FA, mientras que el segundo recibe el token de acceso.
Defenderse de estos ataques es igual que cualquier otro correo electrónico de phishing: usando el sentido común, el escepticismo y un toque de confusión al leer los correos electrónicos.
El mejor antivirus para todos los bolsillos
Siga TechRadar en Google News Y Agréguenos como fuente preferida Obtenga nuestras noticias, reseñas y opiniones de expertos en su feed. ¡No olvides hacer clic en el botón de seguir!
Y por supuesto que puedes Siga TechRadar en TikTok Reciba nuestras actualizaciones periódicas en forma de noticias, reseñas, unboxing y videos. WhatsApp muy
