網釣平臺Venom活動升溫，駭客用於對高階主管發動攻擊，意圖竊取微軟帳號

資安公司Abnormal揭露網路釣魚服務平臺（PhaaS）Venom，並指出相關攻擊活動從2025年11月至2026年3月期間升溫，駭客系統性針對全球重要組織的執行長、財務長等高階主管，假借SharePoint檔案共用的通知，並以財務報告的誘餌引誘收信人掃描QR Code。值得留意的是，駭客根據姓名挑選下手目標，有六成是總裁或C級主管，攻擊的範圍橫跨超過20個產業。

針對這波攻擊的流程，駭客通常會使用遭到入侵的商業電子郵件帳號，寄送聲稱是SharePoint檔案共用的通知，並提供QR Code供收信人掃描。

除了使用針對性的電子郵件，駭客也加入多種迴避偵測的機制，例如，他們為了因應特徵碼的偵測機制，這些釣魚信都包含獨有的HTML元素，這些元素的數值在每次寄信時都會隨機變化，確保所有釣魚信不會出現相同的雜湊值或是特徵字串。這些駭客注入的特徵，涵蓋了13種假的CSS樣式表類別與元素ID。

在信件內文之外，HTML程式碼還包含5個電子郵件的對話串，並與另一個隨機生成的人物進行對話，內容可能是會議提案或假的財務表單，使其看似正常的企業信件往來。

一般來說，許多的QR Code都是以圖片產生，但前述提及的QR Code並非如此，它是由Unicode字元組成，避免檢測郵件圖片是否為QR Code的工具察覺異狀。使用QR Code最重要的目的在於，讓收信人改用個人的行動裝置存取，而這些裝置往往不會受到企業的資安系統監控與管理。

一旦收信人掃描QR Code，駭客就會先透過假的驗證工具過濾使用者身分，檢查使用者代理字串（User Agent），藉此排除資安公司、無頭瀏覽器、雲端服務供應商、滲透測試工具等。駭客也搭配IP位址即時聲譽檢測工具、蜜罐陷阱（Honeypot），目的是捕捉自動化工具與看不見的網頁元素互動的情形。

在成功確認是攻擊目標後，駭客就會將他們導向AI生成的企業網站，進行對手中間人攻擊（AiTM）或裝置驗證碼攻擊，藉此騙取收信人的微軟帳號。