Все считали MFA нерушимым барьером для аккаунтов C-suite. Как бы не так. Эта фишинговая платформа Venom только что разоблачила хрупкость этой иллюзии, превращая рутинную проверку почты в золотую жилу учётных данных для атакующих.
С ноября 2025 по март 2026 хакеры развернули хирургически точную кампанию против CEO, CFO и VP из более чем 20 отраслей. Исследователи Abnormal Security раскрыли картину: ранее неизвестный phishing-as-a-service (PhaaS) по имени Venom, затаившийся на бэкенде и сдающий свой арсенал в аренду всем желающим заплатить.
Чего все ожидали — и почему Venom это рушит
Ожидания? Массовый спам-фишинг, отсекаемый почтовыми фильтрами. MFA как последний рубеж. А Venom? Это инструмент ювелирной точности. Приманки имитируют уведомления SharePoint — срочные финансовые отчёты, требующие сканирования QR-кода прямо в теле письма. Без вложений. Без ссылок. Только сканируемый код, излучающий легитимность.
Жертвы получают сфабрикованный email-тред глубиной в пять сообщений: с их собственным именем из адреса, вымышленным собеседником, даже реальными деталями компании. Многоязычные шаблоны для глобальных топов. Рандомизированный HTML-мусор для обхода сигнатур. Уклонение на стероидах.
И вот сдвиг на рынке: PhaaS не новость — вспомните EvilProxy или кастомные наборы, — но закрытая модель лицензирования Venom кричит о масштабируемости. Как RaaS взорвался десять лет назад, ждите, что это затопит андеграунд в ближайшее время.
Просканировали QR? Бум. Фейковая страница верификации отсеивает ботов, песочницы, сканеры. Прошли? Прямиком в ад.
«Посетители, прошедшие все проверки, перенаправляются на сборщик учётных данных. Остальные упираются в тупик без всяких намёков на подозрительное», — отметили исследователи Abnormal в отчёте от 2 апреля.
Как приманка Venom с QR-кодом ловит настоящих топов?
Представьте: вы CFO, в inbox падает «Прогнозы Q4 — Требуется действие» из треда, похожего на болтовню вашей команды. QR-код? Просканировали с телефона — по привычке. Выбросило на страницу, копирующую логин вашей компании: предзаполненный email, точный брендинг.
Два пути. Первый: Adversary-in-the-middle (AiTM). Проксирует ваши creds и MFA-код прямиком на живую авторизацию Microsoft. Бесшовно. Второй: Device code flow. Без ввода пароля — просто «Одобрить устройство» на реальной странице Microsoft. Атакующий хватает токены.
Упорство? Дьявольское. AiTM подсовывает теневое MFA-устройство — без алертов. Режим устройства? Refresh-токены переживают сброс пароля, если админы не выжгут все сессии (редкий шаг).
Abnormal называет это «одной из самых технически завершённых фишинговых операций, которые мы документировали, [но] не из-за отдельных новинок, а благодаря тому, как тщательно каждый компонент спроектирован для совместной работы».
Не преувеличение. Дашборд Venom управляет кампаниями, токенами, лицензиями. Не засвечен в инфо-фидах до сих пор.
Но вот мой уникальный взгляд. Это эхо спир-фишинга DNC 2016, но индустриализированное. Тогда государства кропали вручную; теперь PhaaS демократизирует для любых киберсиндикатов. Прогноз: к Q4 2026 клонов Venom будет в 50% кампаний против топов, что спровоцирует бумажный рынок перестройки MFA — пасскеи и железо повсюду.
Топы больше не кликают по дурацким ссылкам. Они сканируют QR в залах заседаний. Фильтры? Обойдены шумом и персонализацией. MFA? Бесполезна против AiTM и кражи токенов.
Рыночные динамики резко меняются. Вендеры вроде Abnormal, Proofpoint мчатся разбирать Venom. А предприятия? Всё ещё держатся за вчерашние защиты. Советы директоров рискуют: средняя цена бреша — $4,5 млн (данные IBM), учётки топов открывают email, VPN, всё подряд.
Почему MFA так позорно проваливается здесь — и что дальше?
MFA — император без одежды. AiTM ретранслирует вживую, device flow пропускает формы. Атакующие оседают, выгружая данные в удобном темпе.
Исследователи предупреждают: «Открытие Venom добавляет множитель силы. Закрытая PhaaS с лицензированием, управлением кампаниями и хранением токенов говорит, что эта возможность не ограничена одним оператором».
В точку. Это не одиночка; это сервис. Пролиферация на подходе.
Защиты? Забудьте MFA только по email. Внедряйте привязку к устройствам. Обучайте топов рискам QR (удачи). Охотьтесь за аномалиями в логах авторизации — лишние девайсы, странные IP-потоки. Инструменты вроде расширений браузера, блокирующих AiTM, появляются, но внедрение отстаёт.
А PR-отмазки от Microsoft? Их флоу позволяют это — почините device code, закрутите прокси. Но они будут тянуть; слишком вшито в enterprise.
Короче, это не паника ради хайпа. Факты: кампания задела глобальных гигантов. Venom свеж, мощён, масштабируем. C-suite, проверяйтесь сейчас.
🧬 Related Insights
- Read more: Storm Infostealer: Hackers Now Decrypt Your Passwords on Their Servers
- Read more: Hackers Fake CERT-UA to Push AGEWHEEZE RAT at a Million Ukrainians
Frequently Asked Questions
What is the Venom phishing platform?
Venom’s a PhaaS backend powering credential theft via QR lures, AiTM, and MFA bypasses targeting execs.
How does Venom bypass MFA?
Through live proxying (AiTM) or Microsoft device code flow, grabbing tokens that persist post-reset.
Can companies stop Venom attacks?
Yes—monitor auth anomalies, ban QR scans from email, push FIDO2 keys, revoke sessions aggressively.
