Salty2FA: многоуровневый фишинг с ротацией поддоменов и 2FA
Продолжающаяся кампания по фишингу Salty2FA представляет собой сложную эволюцию тактики фишинга, демонстрирующую передовые технические возможности, которые усложняют выявление и устранение угроз фишинга.
Отчёт описывает многослойную операцию фишинга, в основе которой — сочетание легитимных сервисов и продвинутых технических приёмов уклонения от обнаружения. Злоумышленники используют платформы вроде Aha.io для размещения вводящих в заблуждение страниц (аналогичных OneDrive), динамически создают поддомены для каждого сеанса и на лету подстраивают интерфейс входа под домен электронной почты жертвы. Всё это повышает эффективность социальной инженерии и затрудняет анализ со стороны специалистов по безопасности.
Ключевые особенности кампании
- Вращающиеся поддомены на основе сеанса: для каждого запроса сессии динамически назначаются новые поддомены, что усложняет обнаружение и блокировку таких ресурсов.
- Использование легитимных платформ: злоумышленники создают аккаунты на Aha.io и размещают страницы, имитирующие известные сервисы, например OneDrive, чтобы собирать учётные данные.
- Автоматизированная тематизация: инструмент умеет применять корпоративный брендинг, адаптированный под разные организации, что повышает доверие жертвы.
- Мультидоменная архитектура: несколько доменов обеспечивают обмен данными в реальном времени, доставку дополнительных нагрузок и централизованный сбор украденных учетных данных.
- Многообразие 2FA: развернуто шесть различных методов двухфакторной аутентификации (2FA), каждый с собственным UI, имитирующим легитимные взаимодействия.
Технические приёмы уклонения и защиты от анализа
Аналитикам противостоят несколько уровней защиты:
- Geo-блокировка и фильтрация IP через Cloudflare — ограничение доступа по геолокации и IP-адресам затрудняет мониторинг и автоматизированный сбор артефактов.
- Блокировка доступа для исследователей: URL становятся недоступными, пока аналитик не сменит IP, что показывает намеренную защиту инфраструктуры от внешнего анализа.
- JavaScript-защита от отладки: скрипты обнаруживают инструменты разработчика и изменяют поведение страницы, препятствуя изучению среды и ретроинжинирингу.
Целевая направленность и отрасли риска
Salty2FA демонстрирует прицельность и адаптивность социальной инженерии. Среди затронутых секторов упомянуты:
- здравоохранение;
- финансы;
- технологии;
- энергетика;
- автомобилестроение.
Автоматическая тематизация и адаптация UI под корпоративный стиль усиливают шансы успешного компромета аккаунтов в этих отраслях.
Последствия и рекомендации
Эволюция кампании Salty2FA отражает зрелый подход злоумышленников — планирование и итеративное совершенствование атаки наподобие разработки ПО. Это требует пересмотра методов защиты и анализа угроз:
- пересмотреть подходы к детектированию фишинга с учётом динамических поддоменов и легитимных хостинговых провайдеров;
- усилить мониторинг аномалий в процессе аутентификации, включая подозрительные варианты 2FA-веток;
- учитывать гео- и IP-ограничения при эмуляции аналитических запросов и при сборе артефактов;
- внедрять защиту от фишинга на уровне обучения пользователей и технических контрмер, способных распознавать поддельные интерфейсы.
Вывод
Salty2FA — пример целенаправленной, технологически продвинутой фишинговой кампании, которая сочетает в себе использование легитимных платформ, динамическую инфраструктуру и механизмы защиты от анализа. Чтобы эффективно противостоять таким угрозам, служба безопасности должна адаптировать процессы и инструменты, учитывая новые тактики злоумышленников и усиливая межуровневую координацию аналитики и реагирования.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
