A maioria dos eventos globalmente é causada pelo phishing, que continua sendo o vetor mais comum para ataques cibernéticos no mundo em constante mudança de ameaças cibernéticas.
A proliferação de plataformas acessíveis de phishing como serviço (PHAAS), como Tycoon2fa, EvilProxy e Sneaky2fa, exacerbou esse problema, permitindo que até os atacantes iniciantes implantassem campanhas sofisticadas.
Esses serviços são atualizados continuamente com novas técnicas de evasão e infraestrutura expandida, tornando a detecção cada vez mais desafiadora.
Nova estrutura de phishing
Recentemente, pesquisadores em Any.run Descobriu uma estrutura PHAAS anteriormente não documentada, apelidada de Salty 2FA, que exibe características únicas que o distingue de kits estabelecidos.
Distribuído principalmente via e -mails de phishingSalty 2FA concentra-se em roubar credenciais do Microsoft 365 por meio de uma cadeia de execução de várias etapas projetada para ignorar a detecção e análise.
Enquanto ele compartilha, algum domínio se sobrepõe a aglomerados de ameaças como o Storm-1575 (associado à plataforma DADSEC) e Storm-1747 (ligados ao magnata 2FA), sua infraestrutura distinta com compostos subdomínios .com combinados com domínios .ru e comportamentos do lado do cliente a diferenciam como uma entidade independente.
O nome dessa estrutura deriva de suas cargas úteis “salgadas”, que incorporam ruído como citações inspiradoras para obscurecer a análise estática, combinada com métodos avançados de ofuscação, como a codificação Base64 e a criptografia XOR usando chaves derivadas de sessão.
A execução do Salty 2FA começa com um script inicial de “trampolim” que inicializa a nata do CloudFlare para proteção de bot, seguida pela entrega de um script de entrada ofuscado carregado com conteúdo de preenchimento para complicar o escrutínio.
Os estágios subsequentes envolvem recuperação de carga útil criptografada de domínios .ru, tornando uma falsa Página de login da Microsoft Com IDs de elementos gerados dinamicamente acessados via jQuery e mecanismos de anti-análise, incluindo bloqueio de atalho de teclado e verificações de tempo do depurador para detectar ambientes de sandbox.
A exfiltração de dados ocorre por meio de solicitações de postagem para pontos de extremidade como /.php, onde as credenciais roubadas são codificadas com base64+xor e digitadas para o ID da sessão da vítima.
A estrutura se destaca em lidar com vários métodos de autenticação de dois fatores (2FA), como notificações push, SMS, chamadas de voz e OTPs, permitindo que os adversários interceptem e revezem códigos de verificação em tempo real, concedendo acesso persistente além do mero roubo de credenciais.
As respostas do servidor no formato JSON ditam transições de estado da página, desde prompts de email até o processamento 2FA, aprimorando o realismo e a adaptabilidade da página de phishing.
Estratégias de evasão
As vítimas de Salty 2FA abrangem diversas indústrias, incluindo finanças, telecomunicações, energia, consultoria, logística e educação, com organizações direcionadas nos EUA, Europa e além.
As iscas de email comuns imitam comunicações legítimas, como mensagens de voz, solicitações de acesso a documentos ou emendas de folha de pagamento, geralmente pré-preenchem e-mails de vítimas por meio de âncoras de URL.
A atividade aumentou em junho de 2025, com potenciais precursores que remontam a março-abril e continua a gerar dezenas de sessões de sandbox diariamente.
A detecção é difícil devido a indicadores mutáveis; Os IOCs estáticos como domínios não são confiáveis em meio a mutações constantes de código.
Em vez disso, padrões comportamentais como o.?
Ferramentas como qualquer caixa interativa da qualquer.Run facilitam a análise em tempo real, permitindo que o proxy do MITM capture o tráfego e o mapa fluxos de execução, enriquecendo assim as IOCs e vinculando-as a campanhas mais amplas.
Enquanto as técnicas de evasão do Salty 2FA, incluindo captchas rotativas e impressão digital, posicionam -a como um jogador formidável semelhante aos principais kits de Phaas, seus elementos codificados e falta de exploração avançada de JavaScript revelam fraquezas exploráveis.
As equipes de segurança são aconselhadas a priorizar heurísticas comportamentais sobre assinaturas para defesa proativa, alavancando a inteligência de ameaças para monitorar variantes emergentes.
Indicador de compromisso (COI)
| Categoria | IOCs |
|---|---|
| Domínios | InnovationSteams[.]com Marketplace24ei[.]ru Next TRADEITALY[.]isto[.]com Frankfurtwebs[.]com[.]de |
| URLs | HXXPS[://]telefonia[.]Next TRADEITALY[.]com/sssuwbtmywu/ HXXPS[://]Parochialmente[.]Frankfurtwebs[.]com[.]de/ps6vzzb/ HXXPS[://]Marketplace24ei[.]ru // HXXPS[://]Marketplace24ei[.]Ru/790628[.]php |
| E-e-MAIL IOCs extraídos | 153[.]127[.]234[.]4 51[.]89[.]33[.]171 191[.]96[.]207[.]129 153[.]127[.]234[.]5 izumi[@]Yurikamome[.]com |
Encontre esta notícia interessante! Siga -nosGoogle NewsAssim,LinkedIneXPara obter atualizações instantâneas!