Platform Phishing Baru "Venom" Targetkan Para Eksekutif C-Suite Secara Global untuk Curi Kredensial
Baca dalam 60 detik
- Para peneliti keamanan siber membongkar platform Phishing-as-a-Service (PhaaS) baru bernama Venom yang digunakan untuk menargetkan eksekutif tingkat atas (C-Suite) di berbagai perusahaan global.
- Serangan ini menggunakan taktik rekayasa sosial berupa email notifikasi palsu SharePoint dengan kode QR berbahaya yang mampu memfilter perangkat keamanan otomatis.
- Venom menggunakan teknik canggih seperti Adversary-in-the-Middle (AiTM) dan manipulasi token perangkat yang mampu melewati perlindungan Autentikasi Multi-Faktor (MFA), memungkinkan peretas mempertahankan akses curian dalam jangka waktu lama.
Sebuah kampanye pencurian kredensial berskala besar yang menargetkan para petinggi perusahaan (C-suite) di berbagai organisasi global akhirnya berhasil dibongkar oleh para peneliti dari Abnormal. Kampanye serangan yang berlangsung sejak November 2025 hingga Maret 2026 ini diketahui menggunakan platform Phishing-as-a-Service (PhaaS) canggih yang belum pernah didokumentasikan sebelumnya, bernama Venom.
Kampanye ini menggunakan modus pemberitahuan berbagi dokumen dari SharePoint sebagai umpan (lure). Email tersebut dikirim ke daftar target spesifik yang mencakup CEO, CFO, Ketua Dewan, dan eksekutif setingkat VP di lebih dari 20 sektor industri. Umpan tersebut memanfaatkan tema laporan keuangan untuk mendesak target agar memindai kode QR yang disematkan langsung di dalam badan email.
Fakta Kampanye Phishing Venom:
- Target Utama: Eksekutif C-Suite (CEO, CFO, VP) di perusahaan global.
- Durasi Serangan: November 2025 - Maret 2026.
- Modus Operandi: Kode QR palsu berkedok notifikasi dokumen SharePoint.
- Metode Eksekusi: Adversary-in-the-Middle (AiTM) dan manipulasi device sign-in.
- Kemampuan Khusus: Menembus sistem keamanan Autentikasi Multi-Faktor (MFA).
Untuk menghindari pemindaian keamanan berbasis tanda tangan (signature-based), setiap email menyertakan elemen HTML acak yang mengubah struktur kode setiap kali dikirim. Kode QR tersebut akan mengarahkan target ke halaman pendaratan (landing page) yang berfungsi sebagai pos pemeriksaan palsu guna memfilter otomatisasi keamanan, seperti bot sandbox atau pemindai keamanan. Hanya pengunjung yang terdeteksi sebagai "manusia" yang akan diteruskan ke halaman pencurian kredensial.
"Venom PhaaS adalah platform tertutup yang dilengkapi sistem lisensi, manajemen kampanye, dan penyimpanan token terstruktur. Organisasi harus berasumsi bahwa taktik ini akan menyebar luas, dan strategi pertahanan yang hanya mengandalkan MFA sebagai penghalang akhir perlu segera dievaluasi ulang." - Peneliti Keamanan Abnormal.
Metode Pencurian Kredensial Venom
| Metode Serangan | Mekanisme Kerja |
|---|---|
| Adversary-in-the-Middle (AiTM) | Meniru portal login asli korban dengan branding perusahaan, mem-bypass keamanan MFA dengan secara diam-diam mendaftarkan perangkat MFA kedua (milik peretas) tanpa menghapus perangkat asli korban. |
| Device Code Flow | Menipu korban untuk menyetujui proses sign-in perangkat melalui sistem Microsoft yang sah. Token akses yang dicuri tetap valid bahkan jika korban melakukan reset kata sandi, kecuali sesi aktif dibatalkan oleh admin secara manual. |
Mengingat canggihnya skema peretasan Venom yang dapat menyatu dengan mulus ke dalam alur autentikasi normal dan menembus MFA, perusahaan-perusahaan di seluruh dunia diimbau untuk segera memperbarui sistem dan strategi kewaspadaan siber mereka, khususnya di tingkat jajaran eksekutif.
