Die von Abnormal beobachteten Phishing-Mails imitieren SharePoint-Benachrichtigungen über geteilte Dokumente und treten als interne Unternehmenskommunikation auf. Sie sind stark personalisiert und enthalten zufälliges HTML-Rauschen wie gefälschte CSS-Klassen und Kommentare. Zusätzlich fügen die Angreifer auf das jeweilige Ziel zugeschnittene, gefälschte E-Mail-Verläufe ein, um die Glaubwürdigkeit zu erhöhen.
Für den Zugriff erhält das Opfer einen in Unicode dargestellten QR-Code zum Scannen. Dieser Trick soll Scan-Werkzeuge umgehen und den Angriff auf mobile Geräte verlagern. Laut Abnormal ist die E-Mail-Adresse des Ziels im URL-Fragment – dem Teil hinter dem Zeichen „#" – doppelt Base64-kodiert. Da Fragmente nie in HTTP-Anfragen übertragen werden, bleibt die Adresse für serverseitige Protokolle und URL-Reputationsdienste unsichtbar.
Scannt das Opfer den QR-Code, gelangt es auf eine Landing-Page, die als Filter gegen Sicherheitsforscher und Sandbox-Umgebungen dient. Nur tatsächliche Ziele werden auf die Phishing-Plattform weitergeleitet; Nutzer außerhalb des Interessenkreises der Angreifer landen auf legitimen Websites, um keinen Verdacht zu erregen.
Wer die Prüfungen besteht, gelangt auf eine Seite zum Abgreifen von Zugangsdaten, die einen Microsoft-Anmeldevorgang in Echtzeit als Proxy weiterleitet. Dabei werden Anmeldedaten und MFA-Codes an Microsoft-APIs übergeben und das Sitzungs-Token erfasst.
Neben dieser Adversary-in-the-Middle-Methode (AiTM) hat Abnormal auch eine Device-Code-Phishing-Taktik beobachtet, bei der das Opfer dazu gebracht wird, den Zugriff eines fremden Geräts auf sein Microsoft-Konto zu genehmigen. Diese Methode hat im vergangenen Jahr stark an Beliebtheit gewonnen, weil sie wirksam und gegen Passwortzurücksetzungen resistent ist; mindestens elf Phishing-Baukästen bieten sie derzeit als Option an.
In beiden Verfahren verschafft sich VENOM bereits während der Authentifizierung dauerhaften Zugang. Beim AiTM-Verfahren registriert es ein neues Gerät auf dem Konto des Opfers, beim Device-Code-Verfahren erlangt es ein Token, das ebenfalls Zugriff auf das Konto gewährt.
Die Forscher betonen, dass MFA als Verteidigung nicht mehr genügt. Führungskräfte sollten auf FIDO2-Authentifizierung setzen, den Device-Code-Fluss deaktivieren, sofern er nicht benötigt wird, und Token-Missbrauch durch strengere Richtlinien für bedingten Zugriff blockieren.
