VENOM-kalastelualusta varastaa johtajien tunnuksia

Kyberturvallisuusyhtiö Abnormal AI on paljastanut uuden, aiemmin dokumentoimattoman kalastelualustan nimeltä VENOM. Alusta on suunnattu erityisesti yritysten ylimpään johtoon — toimitusjohtajiin, talousjohtajiin ja varatoimitusjohtajiin — ja se on ollut toiminnassa marraskuusta 2025 lähtien. Kampanja koskettaa yrityksiä ympäri maailmaa, ja samankaltaiset kohdistetut kalasteluhyökkäykset ovat aiemmin levinneet Pohjoismaihin.

Tapauksen kulku

VENOM toimii phishing-as-a-service (PhaaS) -mallilla, eli rikollinen ostaa kalastelualustan käyttöoikeuden palveluna. Alusta on suljettu: sitä ei ole mainostettu julkisilla foorumeilla tai pimeän verkon kauppapaikoilla, mikä on tehnyt sen havaitsemisesta poikkeuksellisen vaikeaa tutkijoille.

Abnormalin raportin mukaan kampanja on kestänyt viisi kuukautta — marraskuusta 2025 maaliskuuhun 2026 — ja kohdistunut suuryritysten johtajiin useilla toimialoilla.

Hyökkäys etenee seuraavasti:

1. Kohteen valinta. Rikollinen valitsee kohteekseen yrityksen johtotason henkilön, yleensä toimitusjohtajan tai talousjohtajan. Kohteista kerätään taustatietoja, jotta kalasteluviesti voidaan räätälöidä uskottavaksi.
2. Kalasteluviesti. Uhri saa sähköpostin, joka näyttää Microsoft SharePoint -asiakirjan jakamisilmoitukselta — ikään kuin kollega jakaa tärkeän tiedoston. Viestit sisältävät satunnaista HTML-kohinaa, kuten tekaistuja CSS-luokkia ja kommentteja, jotka hankaloittavat automaattista tunnistamista ja sähköpostisuodattimien ohittamista.
3. Tunnusten kaappaus. Uhri ohjataan sivulle, joka välittää Microsoft-kirjautumisen reaaliajassa. Alusta toimii niin sanottuna adversary-in-the-middle (AiTM) -välittäjänä: se kaappaa sekä salasanan, monivaiheisen tunnistautumisen koodin että istuntotunnisteen samanaikaisesti.
4. Tilin haltuunotto. Varastetulla istuntotunnisteella rikollinen pääsee suoraan uhrin Microsoft 365 -tiliin ilman uutta kirjautumista. Salasanan vaihtaminenkaan ei auta, koska istuntotunniste on jo rikollisen hallussa.

Abnormalin tutkijoiden mukaan VENOM käyttää myös niin sanottua device-code-kalastelutekniikkaa, jossa uhri huijataan hyväksymään tuntemattoman laitteen pääsy omaan Microsoft-tiliinsä. Tämä tekniikka on yleistynyt voimakkaasti viimeisen vuoden aikana, ja sitä tarjoaa BleepingComputerin mukaan jo ainakin 11 eri kalastelualustaa.

Mitä tämä tarkoittaa Suomessa

Suomalaiset yritysjohtajat eivät ole immuuneja kohdistetuilta kalasteluhyökkäyksiltä. Kyberturvallisuuskeskus on raportoinut vastaavista turvapostiteemaisista kalasteluviesteistä, jotka ovat johtaneet sähköpostitilimurtoihin kymmenissä suomalaisorganisaatioissa huhtikuussa 2026. Vaikka Kyberturvallisuuskeskuksen raportoimat tapaukset eivät ole vahvistettu VENOM-alustan kautta tehdyiksi, hyökkäysmenetelmät ovat samankaltaisia.

Microsoft 365 on Suomen yrityssektorin käytetyin sähköposti- ja toimistoalusta, mikä tekee VENOM-tyyppisistä hyökkäyksistä erityisen merkityksellisiä. Varastettu johtajan sähköpostitili mahdollistaa muun muassa laskutushuijauksia, yrityssalaisuuksien varastamista ja jatkokalastelua organisaation sisällä.

Suomessa on havaittu yritysjohtajien nimissä lähetettyjä WhatsApp-huijausviestejä, joissa pyydetään työntekijöitä perustamaan ryhmäkeskusteluja. VENOM-tyyppinen tilikaappaus voisi toimia alkupisteenä tällaisille jatkohuijauksille, koska kaapatun johtajan tilin kautta lähetetyt viestit näyttävät täysin aidoilta ja ohittavat normaalit varotoimet.

PhaaS-malli madaltaa hyökkäyskynnystä merkittävästi, koska rikollinen ei tarvitse omaa teknistä osaamista — hän ostaa valmiin hyökkäysalustan palveluna. Tämä tarkoittaa, että kohdistettujen kalasteluhyökkäysten määrä tulee todennäköisesti kasvamaan entisestään.

Suojautuminen

• Monivaiheinen tunnistautuminen ei yksin riitä. VENOM ohittaa perinteiset MFA-menetelmät, kuten SMS-koodit ja autentikaattorisovellukset. Harkitse FIDO2-turva-avaimia tai puhelimen biometrista tunnistautumista, joita AiTM-hyökkäys ei pysty kaappaamaan.
• Tarkista SharePoint-jaot. Jos saat asiakirjan jakamisilmoituksen, tarkista lähettäjä suoraan esimerkiksi Teamsissa tai puhelimitse ennen linkin avaamista. Aitoja SharePoint-jakoja voi tarkistaa suoraan SharePointin kautta.
• Kouluta johtoa. Ylimmän johdon tunnukset ovat arvokkaimpia kohteita, koska niiden kautta pääsee käsiksi koko organisaation tietoihin ja niillä on auktoriteettia pyytää toimenpiteitä. Säännölliset tietoturvakoulutukset ovat välttämättömiä.
• Seuraa kirjautumisia. Microsoft 365 -ylläpitäjien kannattaa ottaa käyttöön hälytykset uusista laitteista, poikkeavista kirjautumissijainneista ja epätavallisista tiedostojen latausaktiviteeteista.
• Ehdollinen pääsy. Microsoftin Conditional Access -käytännöillä voidaan rajoittaa kirjautuminen vain tunnettuihin laitteisiin ja sijainteihin.

Lähteet

1. BleepingComputer — New VENOM phishing attacks steal senior executives' Microsoft logins
2. Abnormal AI — VENOM PhaaS C-Suite Credential Theft Report
3. Infosecurity Magazine — New Phishing Platform Used in Credential Theft Campaigns
4. Kyberturvallisuuskeskus — Turvapostiteemaiset kalasteluviestit johtavat sähköpostitilimurtoihin