文章总结： 网络安全公司Abnormal发现新型网络钓鱼即服务平台Venom，自2025年11月起针对多个行业C级高管发起攻击。攻击链高度定制化，通过冒充SharePoint通知、嵌入随机HTML干扰元素、伪造邮件线程提升可信度，并利用二维码将攻击转移至移动设备。其采用双重Base64编码隐藏目标邮箱于URL片段，结合中间人攻击与设备代码钓鱼策略，可绕过MFA并实时捕获会话令牌。研究强调MFA已不足以防，建议企业高管采用FIDO2认证、禁用非必要设备代码流，并强化条件访问策略。 综合评分： 88 文章分类： 威胁情报,网络钓鱼,应用安全,安全意识,安全运营

新型 VENOM 网络钓鱼攻击窃取高管的微软登录信息

Rhinoer Rhinoer

犀牛安全

2026年4月24日 00:00 北京

在小说阅读器读本章

去阅读

攻击者利用一种此前未被记录在案的网络钓鱼即服务 (PhaaS) 平台“VENOM”，正以多个行业的 C 级高管的凭证为目标。

该行动至少从去年 11 月就开始了，似乎针对的是公司中担任首席执行官、首席财务官或副总裁的特定人员。

VENOM 似乎也属于封闭式访问，因为它没有在公共渠道和地下论坛上进行推广，从而减少了研究人员接触到它的机会。

VENOM 攻击链

网络安全公司 Abnormal 的研究人员发现，这些钓鱼邮件冒充微软 SharePoint 文档共享通知，作为内部通信的一部分。

这些信息高度个性化，并包含随机的HTML干扰元素，例如伪造的CSS类和注释。攻击者还会注入针对目标定制的虚假邮件线程，以增强可信度。

攻击者会提供一个以Unicode编码呈现的二维码，供受害者扫描以获取访问权限。这种伎俩旨在绕过扫描工具，并将攻击转移到移动设备上。

研究人员解释说：目标电子邮件地址在 URL 片段中（# 字符之后的部分）经过了双重 Base64 编码。

HTTP 请求中永远不会传输数据片段，因此目标用户的电子邮件对服务器端日志和 URL 信誉信息是不可见的。

当受害者扫描二维码时，会被引导至一个专门用于安全研究人员和沙盒环境的页面，确保只有真正的目标用户才会被重定向到钓鱼平台。与攻击者目标无关的用户则会被重定向到合法网站，以降低其怀疑度。

通过测试的用户将被带到凭据收集页面，该页面实时代理 Microsoft 登录流程，将凭据和多因素身份验证 (MFA) 代码传递给 Microsoft API 并捕获会话令牌。

除了中间人攻击 (AiTM) 方法外，Abnormal 还观察到一种设备代码网络钓鱼策略，在这种策略中，受害者被诱骗批准恶意设备访问其 Microsoft 帐户。

由于该方法的有效性和对密码重置的抵抗力，过去一年来，这种方法变得非常流行 ，目前至少有11 个网络钓鱼工具包将其作为一种选项。

两种方法中，VENOM 都能在身份验证过程中快速建立持久访问权限。在 AiTM 流程中，它会在受害者的账户上注册一个新设备。在设备代码流程中，它会获取一个令牌，该令牌也提供了对账户的访问权限。

研究人员指出，多因素身份验证（MFA）已不足以作为防御手段。企业高管应使用FIDO2身份验证，在不需要时禁用设备代码流，并通过实施更严格的条件访问策略来阻止令牌滥用。

信息来源：BleepingComputer

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：犀牛安全 Rhinoer Rhinoer《新型 VENOM 网络钓鱼攻击窃取高管的微软登录信息》