PhishingHackerangriffeCyberkriminalität

VENOM-Phishing: Neue Angriffswelle zielt auf Microsoft-Konten von Führungskräften

VENOM-Phishing: Neue Angriffswelle zielt auf Microsoft-Konten von Führungskräften
Zusammenfassung

Die neu entdeckte Phishing-Plattform „VENOM" stellt eine erhebliche Bedrohung für hochrangige Führungskräfte dar. Seit mindestens November vergangenen Jahres führen Cyberkriminelle über dieses bislang undokumentierte Phishing-as-a-Service-System koordinierte Angriffe auf CEOs, CFOs und Vizepräsidenten durch. Die Kampagnen zeichnen sich durch bemerkenswerte Raffinesse aus: Die Angreifer nutzen gefälschte Microsoft-SharePoint-Benachrichtigungen, injizieren täuschend echte E-Mail-Threads und setzen Unicode-QR-Codes ein, um ihre Scans vor automatischen Sicherheitstools zu verbergen. Besonders problematisch ist die Methode der Base64-Verschlüsselung von Zieladressen im URL-Fragment, die Server-Logs und Reputation-Systeme umgeht. VENOM operiert im geschlossenen Kreis und wird nicht in öffentlichen Foren beworben, was die Entdeckung durch Sicherheitsforscher erschwert. Für deutsche Unternehmen und deren Führungskräfte bedeutet dies ein erhebliches Risiko, da solche hochgerichteten Attacken zunehmend international agieren. Die Kombination aus Adversary-in-the-Middle-Techniken und Device-Code-Phishing ermöglicht den Tätern persistente Zugänge, die selbst Multifaktor-Authentifizierung überwinden. Experten warnen, dass traditionelle Sicherheitsmaßnahmen nicht mehr ausreichen und stärkere Authentifizierungsmethoden wie FIDO2 notwendig sind.

Die Cyberkriminellen hinter VENOM setzen auf maximale Überzeugungskraft: Die Phishing-E-Mails sind extrem personalisiert und enthalten verstecktes HTML-Rauschen wie gefälschte CSS-Klassen und Kommentare. Besonders raffiniert ist der Einsatz von manipulierten E-Mail-Threads, die in den Kontext des Ziels passen und damit die Glaubwürdigkeit der Nachricht erhöhen.

Statt herkömmlicher Links nutzen die Angreifer einen innovativen Trick: Sie generieren QR-Codes in Unicode-Formatierung, die Nutzer mit ihren Smartphones einscannen sollen. Dies verlagert den Angriff bewusst auf mobile Geräte und soll Sicherheitstools umgehen. Ein besonders cleverer Mechanismus versteckt die E-Mail-Adresse des Opfers in der URL-Fragment-Komponente (nach dem #-Symbol). Diese Fragmente werden nicht an Server übertragen, wodurch die Zieladresse in Server-Logs und bei URL-Reputation-Systemen unsichtbar bleibt.

Nach dem Scannen des QR-Codes landen Opfer auf einer Zwischenseite, die wie ein Filter funktioniert: Sie unterscheidet echte Ziele von Sicherheitsforschern und virtuellen Umgebungen. Nutzer außerhalb des eigentlichen Interessenspektrums werden zu legitimalen Websites weitergeleitet, um Verdacht zu vermeiden.

Hat das Opfer die Filterung bestanden, folgt die Credential-Harvesting-Seite. Hier wird die Microsoft-Anmeldung in Echtzeit nachgeahmt, während die Angreifer Benutzerdaten und Authentifizierungscodes abfangen und direkt an Microsofts APIs weiterleiten. Alternativ nutzen Angreifer auch Device-Code-Phishing: Opfer werden dazu gebracht, einem verdächtigen Gerät Zugriff auf ihr Microsoft-Konto zu genehmigen.

Besonders besorgniserregend ist die Geschwindigkeit, mit der VENOM persistente Zugänge etabliert. Bei der Man-in-the-Middle-Methode registriert der Angreifer ein neues Gerät im Konto. Bei Device-Code-Angriffen erhält er ein Token mit vollständigen Zugriffsmöglichkeiten.

Sicherheitsexperten warnen: Traditionelle Multi-Faktor-Authentifizierung schützt nicht ausreichend vor diesen Angriffen. Empfehlungen für Führungskräfte umfassen die Nutzung von FIDO2-Authentifizierung, die Deaktivierung des Device-Code-Flows bei Nichtgebrauch und strengere Conditional-Access-Richtlinien, um Token-Missbrauch zu verhindern.

Ähnliche Artikel