VENOM: Plataforma PhaaS roba credenciales Microsoft de ejecutivos C-Suite mediante AiTM y QR phishing

Investigadores de Abnormal Security descubrieron VENOM, una plataforma de phishing-as-a-service (PhaaS) previamente no documentada que está siendo utilizada para robar credenciales de Microsoft de ejecutivos de nivel C-Suite. La operación, activa desde al menos noviembre de 2025, targeting específicamente a CEOs, CFOs y vicepresidentes por nombre en más de 20 industrias diferentes.

A diferencia de las campañas masivas tradicionales, VENOM opera como un servicio de acceso cerrado que no se promociona en foros públicos, lo que reduce su exposición ante investigadores y defensores de seguridad.

La cadena de ataque comienza con correos electrónicos altamente personalizados que impersonan notificaciones de Microsoft SharePoint, simulando comunicaciones internas legítimas de la organización. Los mensajes incluyen hilos de correo falsos adaptados al objetivo y ruido HTML aleatorio como clases CSS ficticias y comentarios para evadir filtros de seguridad.

En lugar de enlaces tradicionales, los atacantes emplean códigos QR renderizados en caracteres Unicode, una técnica conocida como "quishing" que obliga a la víctima a escanear desde su dispositivo móvil, desplazando el ataque fuera del perímetro corporativo donde los controles de seguridad son más débiles.

Una vez escaneado el código QR, la víctima es dirigida a una página de aterrizaje que actúa como filtro de selección. Este mecanismo detecta y redirige a investigadores, bots y entornos de sandbox hacia sitios web legítimos, mientras que solo los objetivos reales avanzan a la plataforma de phishing.

Según detalla el reporte de inteligencia de amenazas de Abnormal, la dirección de correo electrónico del objetivo está codificada doblemente en Base64 dentro del fragmento de URL, la porción después del carácter # que nunca se transmite en solicitudes HTTP, haciéndola invisible para logs de servidor y sistemas de reputación de URLs.

VENOM emplea dos métodos principales para comprometer las cuentas.

1. El primero es un ataque adversario-en-el-medio (AiTM) que proxyea una sesión de inicio de sesión real de Microsoft, capturando credenciales y códigos MFA en tiempo real mientras los retransmite a las APIs de Microsoft para obtener un token de sesión válido.
2. El segundo método abusa del flujo de autenticación de código de dispositivo de Microsoft, engañando a la víctima para que apruebe el acceso de un dispositivo malicioso, otorgando a los atacantes un token de acceso que persiste incluso después de un restablecimiento de contraseña.

En ambos escenarios, los atacantes establecen acceso persistente de inmediato: en el flujo AiTM registran un nuevo dispositivo en la cuenta comprometida, mientras que en el flujo de código de dispositivo obtienen un token con privilegios de acceso completo.

El impacto para organizaciones en América Latina es significativo. Ejecutivos de empresas financieras, manufactura, logística y tecnología están en el radar de los operadores de VENOM y las técnicas empleadas representan un salto cualitativo respecto al phishing convencional. La autenticación MFA basada en SMS, aplicaciones autenticadoras o códigos de un solo uso ya no constituye una defensa efectiva contra estos métodos de robo de sesión.

Los equipos de seguridad deben monitorear registros de nuevos dispositivos inusuales, implementar autenticación FIDO2 con claves de seguridad hardware, deshabilitar el flujo de código de dispositivo cuando no sea necesario, y reforzar políticas de acceso condicional que limiten la concesión de tokens según señales de riesgo y ubicación geográfica.