Od wielu lat phishing jest jedną z najskuteczniejszych metod uzyskiwania dostępu do wrażliwych danych i systemów. Rosnąca świadomość użytkowników oraz wdrażanie mechanizmów takich jak MFA sprawiają jednak, iż cyberprzestępcy muszą nieustannie rozwijać swoje metody i narzędzia.
Przykładem tej ewolucji jest phishing kit VENOM, który dobrze pokazuje, iż masowe kampanie oparte na prostych wiadomościach kierowanych do losowych ofiar coraz częściej ustępują miejsca precyzyjnie przygotowanym operacjom wymierzonym w konkretne osoby.
Czym jest phishing kit VENOM
Zacznijmy od tego, czym w ogóle jest phishing kit. To zestaw narzędzi umożliwiający przeprowadzanie ataków phishingowych bez konieczności posiadania zaawansowanej wiedzy technicznej. Zawiera on gotowe strony logowania do popularnych usług, mechanizmy zbierania danych oraz narzędzia do zarządzania kampanią.
VENOM dostępny jest w modelu PaaS (Phishing-as-a-Service), w którym sprzedawany jest dostęp do narzędzia. Cyberprzestępcy prowadzący kampanię otrzymują gotowe środowisko pozwalające na szybkie uruchomienie ataku, a śledzenie rezultatów w czasie rzeczywistym zapewnia integracja z komunikatorami takimi jak Telegram.
Sam model PaaS nie jest niczym nowym, jednak VENOM wyróżnia się metodami, jakie wykorzystuje. Narzędzie to łączy gotową infrastrukturę z nowoczesnymi technikami ataku, jak phishing oparty o kody QR czy przejmowanie sesji użytkownika zamiast klasycznej próby wyłudzenia loginu i hasła.
Pierwsze zaobserwowane kampanie z wykorzystaniem phishing kit VENOM pojawiły się pod koniec 2025 roku, jednak narzędzie zostało szerzej opisane dopiero na początku kwietnia 2026. Wskazuje to, iż przez dłuższy czas funkcjonowało poza obiegiem publicznym.
Jak przebiega atak
Jak można się domyślić, atak rozpoczyna się od wiadomości skierowanej do konkretnej osoby w organizacji. Najczęściej ma ona formę e-maila przypominającego komunikację wewnętrzną lub powiadomienie z używanego systemu, np. informację o konieczności zatwierdzenia dostępu lub o udostępnionym dokumencie.
W treści wiadomości znajduje się kod QR, który prowadzi do strony imitującej znaną w organizacji usługę. Szczególnie popularne jest podszywanie się pod usługi z ekosystemu Microsoft, takie jak Microsoft SharePoint czy panel logowania do usług Microsoft 365. Coraz częściej spotykana jest również technika przesyłania kodu QR jako ciągu znaków Unicode, co pozwala ominąć część systemów analizujących załączniki graficzne.
W bardziej zaawansowanych scenariuszach atak działa w modelu tzw. reverse proxy. Oznacza to, iż dane użytkownika są przekazywane do prawdziwego serwisu, natomiast odpowiedź zwracana jest do infrastruktury atakującego. Dzięki takiemu działaniu możliwe jest przechwycenie tokenów sesji choćby w przypadku poprawnie przeprowadzonego MFA.
Spear phishing i ataki na osoby uprzywilejowane
VENOM wykorzystywany jest głównie w atakach typu spear phishing, gdzie najważniejsze znaczenie ma wybór celu. Zamiast wysyłać tysiące wiadomości, atakujący skupiają się na adresatach o wysokich uprawnieniach wewnątrz organizacji. Najczęściej są to członkowie kadry zarządzającej, administratorzy systemów oraz osoby mające dostęp do finansów lub strategicznych danych organizacji. Wiadomości przygotowywane są w oparciu o realny kontekst, mogą odnosić się do projektów, dokumentów czy procesów, które faktycznie istnieją w firmie. Takie podejście znacząco zwiększa skuteczność ataku.
Phishing jako element większego ataku
Phishing z wykorzystaniem narzędzi takich jak VENOM bardzo rzadko jest celem samym w sobie. W praktyce stanowi on pierwszy etap bardziej złożonego scenariusza, który ma zakończyć się uzyskaniem trwałego dostępu do infrastruktury organizacji lub przeprowadzeniem oszustwa finansowego.
Gdy atakujący zdobywa dostęp do konta, z perspektywy użytkownika phishing się kończy. Jednocześnie dla atakującego dopiero zaczyna się adekwatna część operacji.
Kolejne etapy obejmują analizę przejętej skrzynki pocztowej, co pozwala lepiej zrozumieć strukturę organizacji oraz zidentyfikować najważniejsze kontakty. W praktyce umożliwia to podszywanie się pod użytkownika i wysyłanie wiadomości, które mogą zawierać prośby o pilne przelewy, przekazanie wrażliwych danych lub nadanie dodatkowych uprawnień.
W efekcie pojedyncza wiadomość phishingowa może zapoczątkować reakcję łańcuchową prowadzącą do poważnej kompromitacji organizacji.
Podsumowanie
Phishing kit VENOM pokazuje, iż współczesne cyberataki stają się coraz bardziej zaawansowane i zorganizowane, jednocześnie obniżając próg wejścia dla cyberprzestępców.
Techniki przejmowania sesji użytkownika oraz wykorzystanie reverse proxy powodują, iż ochrona nie może ograniczać się wyłącznie do haseł i MFA. Coraz większe znaczenie ma analiza zachowania użytkowników oraz monitorowanie aktywnych sesji.
Równie istotnym elementem pozostaje świadomość użytkowników. W przypadku takich ataków to właśnie człowiek jest ostatnią linią obrony. Umiejętność rozpoznania nietypowej wiadomości, podejrzanego kodu QR czy nieoczekiwanej prośby o logowanie może decydować o tym, czy atak zakończy się powodzeniem.
Edukacja pracowników powinna nadążać za ewolucją zagrożeń. Klasyczne szkolenia nie zawsze uwzględniają nowe techniki, takie jak quishing. Bez tego elementu choćby dobrze zabezpieczona infrastruktura może zostać skutecznie zaatakowana.
