Salty 2FA – Az új PhaaS a Microsoft 365 hozzáféréseket veszi célba

A Salty 2FA nevű új, korábban nem dokumentált Phishing-as-a-Service (PhaaS) keretrendszert az ANY.RUN kutatói azonosították. Ez a kifinomult adathalász eszköz több lépcsőben hajt végre támadásokat, és főként a Microsoft 365 hitelesítő adatok megszerzésére koncentrál. Egyedi jellemzői közé tartozik az összetett infrastruktúra – különösen a .com és .ru tartományok kombinálása –, a többlépcsős végrehajtási lánc, valamint a különféle 2FA (kétfaktoros hitelesítési) módszerek megkerülésére szolgáló mechanizmusok. A kit képes kezelni SMS, hanghívásos és alkalmazás alapú 2FA megoldásokat is, amivel a támadók a jelszavakon túlmenően is hozzáférést nyerhetnek az áldozatok fiókjaihoz.

A Salty 2FA viselkedése egyedi és nem illeszkedik teljes mértékben a jól ismert Tycoon2FA vagy EvilProxy támadási mintázatához, habár bizonyos átfedéseket mutat Storm-1575 és Storm-1747 aktivitásaival. A támadók által használt technikai trükkök – mint például obfuszkált kód, dinamikusan generált azonosítók, viselkedésalapú detektálás ellen védő funkciók – jelentős kihívást jelentenek a statikus és klasszikus detekciós módszerek számára.

A célzott iparágak és országok köre széles: pénzügyi, energia, telekommunikáció, oktatás, kormányzati, logisztikai, IT és egészségügyi szektorok is érintettek. A támadások 2025 júniusától kezdve intenzívebbé váltak, és jelenleg is aktívan zajlanak.

Az ANY.RUN blogján bővebb elemzés és IOC-k is találhatóak a fenyegetéssel kapcsolatban.

(forrás)