- VENOMフィッシングキットはC-Suite幹部を名指しで標的にします
- メールはUnicode QRコードを使用したSharePoint通知を装っています
- 攻撃者は認証情報、2FAコード、アクセストークンを盗みます
大規模なグローバル組織のディレクターまたはC-Suite幹部として働いている場合は、あなたを名指しで標的にする新しいフィッシング攻撃に注意してください。
Abnormalのセキュリティ研究者は、脅威行為者が標的を慎重に選別し、ログイン認証情報と2FAコードを盗くことを目的とした、カスタマイズされたフィッシングメールでアプローチするキャンペーンについて警告しています。
プロセス全体は、VENOMと呼ばれる以前は文書化されていなかったフィッシングキットで構築されており、ライセンスと有効化モデル、構造化されたトークンストレージ、および完全なキャンペーン管理インターフェースを備えています。
記事はここから下へ続きます
秘密の盗み出し
Abnormalは、それがまだ公開の脅威インテリジェンスデータベースに表示されていないと述べており、ダークウェブフォーラムで販売されているとも見なされていません。これは、審査済みチャネルを通じて配布される閉鎖型アクセスプラットフォームである可能性が最も高いことを意味します。
メール自体はSharePointドキュメント共有通知をテーマにしています。被害者はドキュメントが与えられたと信じるよう導かれ、提供されたQRコードをスキャンしてアクセスするよう招待されます。
QRコード自体も芸術作品です。画像を単に埋め込む代わりに(メールセキュリティソリューションで検出される可能性があります)、脅威行為者はUnicodeブロック文字から完全に構築し、HTMLの内側にレンダリングされています。
コードをスキャンした人は、まず偽の検証チェックポイントにリダイレクトされます。これはボット、スキャナー、サンドボックス、およびセキュリティ研究者をフィルタリングするように設計されています。チェックポイントを通過した後、被害者は2つの認証方法の1つが提示されます:ログイン認証情報と2FAコード、またはMicrosoftの正当なデバイスコードフローを使用したデバイスサインイン。前者はパスワードを盗み2FAコードを中継し、後者はアクセストークンを取得します。
これらの攻撃に対する防御は、他のフィッシングメールと同じです。メールを読むときに常識、懐疑心、そして少しの疑いを持つことです。
そしてもちろん、あなたもTikTokでTechRadarをフォローしてください。ニュース、レビュー、ビデオ形式の開封動画などをご覧いただき、次のサイトから定期的な更新をお受け取りくださいWhatsAppも。
