¿Qué es VENOM en ciberseguridad?

VENOM es una plataforma de phishing-as-a-service utilizada para robar credenciales de cuentas Microsoft mediante ataques dirigidos.

¿A quiénes ataca VENOM?

Principalmente a ejecutivos de alto nivel como CEOs, CFOs y vicepresidentes de empresas.

¿Cómo roba credenciales VENOM?

Utiliza ataques AiTM y phishing con device codes para capturar contraseñas, MFA y tokens de sesión en tiempo real.

¿Por qué los códigos QR son peligrosos en este ataque?

Porque permiten evadir filtros de seguridad y redirigir a la víctima a páginas maliciosas desde dispositivos móviles.

¿Cómo protegerse de VENOM?

Usando autenticación FIDO2, restringiendo device code flow y aplicando políticas de acceso condicional más estrictas.

Nueva campaña de Phishing de Venom roba Credenciales Microsoft a altos Ejecutivos | Noticias Hacking y Seguridad Informática

Una nueva plataforma de phishing as a service llamada VENOM está siendo utilizada en campañas dirigidas contra altos ejecutivos de empresas de múltiples sectores.

Según investigadores de Abnormal Security, la campaña se centra especialmente en perfiles C-level como CEOs, CFOs y vicepresidentes, lo que indica un enfoque altamente selectivo.

Saber Más..

Ataques personalizados contra cuentas de Microsoft

Los atacantes están diseñando correos muy elaborados que simulan notificaciones legítimas de Microsoft, específicamente relacionados con servicios como SharePoint.

Estos mensajes incluyen:

Falsas cadenas de correo simulando conversaciones internas
Código HTML oculto para evitar detección
Elementos personalizados para cada víctima

El objetivo final es robar credenciales de acceso corporativo.

QR codes y evasión de sistemas de seguridad

Una de las técnicas más llamativas de VENOM es el uso de códigos QR en Unicode para redirigir a las víctimas.

Este método permite:

Evadir filtros de seguridad tradicionales
Trasladar el ataque a dispositivos móviles
Reducir la detección en entornos corporativos

Al escanear el código, la víctima es redirigida a una página que filtra si es un investigador o un entorno automatizado antes de mostrar el contenido malicioso.

Robo de credenciales en tiempo real (AiTM)

El núcleo del ataque utiliza técnicas del “hombre en medio”, donde el atacante intercepta la sesión en tiempo real.

Esto permite:

Capturar credenciales de inicio de sesión
Robar códigos de autenticación multifactor (MFA)
Obtener tokens de sesión válidos

En algunos casos, el sistema incluso registra el dispositivo como confiable dentro de la cuenta comprometida.

Bypass de MFA con device code phishing

Además del AiTM tradicional, VENOM también utiliza ataques basados en device code phishing.

En este método, la víctima autoriza un dispositivo malicioso que obtiene acceso persistente a la cuenta sin necesidad de contraseña.

Este tipo de técnica se ha vuelto cada vez más común debido a su efectividad contra mecanismos tradicionales de autenticación.

Por qué estos ataques son tan peligrosos

VENOM combina múltiples capas de evasión y robo de identidad:

Personalización avanzada de correos
Filtrado de víctimas en tiempo real
Interceptación de sesiones activas
Uso de tokens de acceso persistente

Esto hace que incluso sistemas con MFA puedan ser comprometidos si no se utilizan métodos resistentes como FIDO2.

Recomendaciones de seguridad

Los expertos recomiendan especialmente para ejecutivos y entornos corporativos:

Uso de autenticación FIDO2
Desactivar device code flow cuando no sea necesario
Aplicar políticas estrictas de acceso condicional
Monitorizar tokens de sesión y dispositivos conectados

La campaña VENOM demuestra cómo el phishing ha evolucionado hacia modelos más sofisticados y difíciles de detectar.

Vistas: 1