Новый фишинговый набор Salty2FA обходит MFA и клонирует страницы входа

Новый, сложный набор для фишинга Salty2FA использует передовые тактики для обхода многофакторной аутентификации (MFA) и имитации надёжных брендов. Ознакомьтесь с экспертным анализом того, как эти атаки «Фишинг 2.0» бросают вызов традиционным средствам безопасности.

Наступила новая эра кибератак, во главе которой стоит фишинговый набор, настолько продвинутый, что имитирует методы разработки легитимных компаний-разработчиков ПО. В новом исследовании, эксклюзивно предоставленном Hackread.com, Центр киберзащиты Ontinue раскрыл сложную фишинговую кампанию с использованием нового фреймворка Salty2FA, демонстрируя радикальное развитие фишинговых тактик, позволяющих обходить самые передовые средства защиты.

Кампания начинается с мошеннического электронного письма, которое перенаправляет жертв на поддельную страницу для обмена документами, размещённую на легитимной платформе Aha.io Сообщается, что эта учётная запись была создана 3 сентября 2025 года и работала в бесплатном пробном режиме.

Эта начальная приманка предназначена для использования доверия пользователя к известному сервису. При нажатии на ссылку пользователь подвергается многоэтапной цепочке атак. Этот процесс включает в себя капчу Cloudflare Turnstile — защитную функцию, предназначенную для блокировки ботов, которая, по иронии судьбы, отфильтровывает автоматизированные инструменты безопасности и «песочницы», затрудняя специалистам по безопасности анализ угрозы.

Примечательно, что инфраструктура фишингового набора разработана таким образом, чтобы обходить традиционные методы блокировки. Он использует чередующиеся поддомены на основе сеансов, поэтому для каждой новой жертвы создаётся новый уникальный адрес, что значительно затрудняет отслеживание и блокировку вредоносного сайта службами безопасности.

В своём отчёте исследователи Ontinue отметили, что злоумышленники виртуозно владеют искусством самозванства. Комплект Salty2FA автоматически настраивает мошеннические страницы входа на основе домена электронной почты жертвы. Эта функция «динамического корпоративного брендинга» создаёт реалистичную копию портала входа компании с сохранением её логотипа, цветовой гаммы и стиля.

Исследование подтвердило эту широкую направленность в таких отраслях, как здравоохранение, финансы, технологии и энергетика, что представляет собой системный подход к усилению мер социальной инженерии.

Что ещё хуже, комплект даже имитирует шесть различных типов многофакторной аутентификации, включая SMS, приложения-аутентификаторы и телефонные звонки. Это убеждает жертв в том, что они находятся на настоящем, защищённом сайте, поскольку комплект обходит критически важный уровень безопасности. Вредоносная программа также использует сложные методы обфускации кода и противодействия отладке, чтобы затруднить работу специалистов по безопасности.

Хотя сложность этой кампании позволяет предположить, что за ней стоит устоявшаяся преступная группировка, исследователи не смогли однозначно связать атаку с конкретным источником угрозы. Доказательства состоят из схожих тактик и методов, а не уникальных цифровых отпечатков или инфраструктуры, что демонстрирует, насколько искусны эти злоумышленники в сокрытии своей личности.

Исследователи полагают, что эта кампания является частью более широкой тенденции, отражающей растущий кризис в сфере кибербезопасности. Согласно новым данным Menlo Security, количество фишинговых атак через браузеры выросло на 140% по сравнению с 2023 годом, при этом количество фишинговых атак «нулевого часа», использующих уязвимости до их устранения, выросло на 130% за тот же период. Этот рост показывает, как современные фишинговые наборы обходят стандартные средства безопасности, оставляя осведомлённость пользователей основным средством защиты.

Несколько экспертов по безопасности проанализировали эту новую угрозу и поделились своими выводами с Hackread.com. Николь Кариньян , старший вице-президент по стратегии безопасности и ИИ, а также руководитель отдела информационной безопасности Darktrace, отметила, что многие инструменты безопасности не распознают новые угрозы. Она подчеркнула, что организации не могут полагаться на сотрудников как на последнюю линию обороны. Вместо этого им необходимо использовать инструменты машинного обучения, способные создавать профили обычной активности пользователей, чтобы «точно распознавать подозрительную активность».

Джейсон Сороко , старший научный сотрудник Sectigo, пояснил, что не все многофакторные аутентификации одинаковы. Он пояснил, что, хотя многофакторная аутентификация (MFA) и усложняет задачу злоумышленников, слабые варианты, основанные на «общих секретах», таких как одноразовые пароли, могут быть так же уязвимы для поддельных страниц аутентификации, как и обычные пароли. Он подчеркнул, что обучение и повышение осведомленности имеют решающее значение для повышения эффективности MFA.