Salty2FA & Tycoon2FA hybrid phishing
Az Any.run jelentése szerint a Salty2FA és a Tycoon2FA rendszerek metszéspontjából született meg egy hibrid csomag, amely keveri a két keretrendszer támadóinak módszereit — ezzel új minőséget hoz a 2FA-val védett fiókok ellen indított támadásokban.
A Salty2FA-kampány 2025 júniusában indult, és jellemzően céges, nagy értékű környezetek — pénzügyi, energiavállalatok, telekommunikáció, oktatás — ellen irányul. A módszer első fázisa tipikus spear-phishing-es email, számlakorrekció, hangposta értesítés vagy dokumentum megosztás ürügyével próbál elérni a célpontig. A linkre kattintás után nem azonnali letöltés vagy futtatható fájl történik — a támadó egy többlépcsős, szkriptekkel, obfuszkált kóddal, gyakran CAPTCHA / botellenőrzéssel operáló phishing oldalra irányít, hogy kiszűrje az automatizált védelmi rendszereket.
Ami miatt a Salty2FA–Tycoon2FA hibrid komolyan veszélyessé vált, az az, hogy a stollen hitelesítési adatokon túl a támadók képesek elkapni a felhasználó 2FA-kódjait vagy push-hitelesítési értesítéseit, sőt, egyes esetekben még SMS- vagy hangalapú másodlagos azonosítást is kijátszanak. Így akkor is hozzáférést szereznek a fiókokhoz, ha a felhasználó gondosan beállította a többtényezős védelmet.
A hibrid kampány különös erőssége, hogy a két korábban elkülönült phishing-keretrendszer jeleit keveri. Elemzések szerint a korábban önálló Salty2FA-minták száma október végére drasztikusan visszaesett, miközben megjelentek olyan minták, amelyek mindkét rendszer jellemzőit tartalmazzák, így közös IOC-ek, infrastruktúra és végrehajtási lánc. Ez technikailag jelentős változás, a detektáló rendszerek számára nehezebb lesz szabálykészletet kialakítani, mert a korábban ismert minták alkalmazhatósága korlátozottá vált, és az elkövetők könnyebben kicselezik a statikus védekezést.
A támadók olyan szerver- és domain-infrastruktúrát használnak, amely többszintű és redundáns, így még akkor is működhet, ha egy komponensük leáll. Ez megnöveli a kampány tartósságát és skálázhatóságát, ami különösen veszélyes magas értékű célpontok esetében, így vállalati, pénzügyi vagy állami fiókoknál.
Az elemzők szerint a Salty2FA–Tycoon2FA hibrid jelenség jelez egy új trendet, a phishing-frameworkök közötti kereszteződést, ami az eddiginél homályosabbá és rugalmasabbá teszi a támadói infrastruktúrát. Ez kihívás elé állítja a biztonsági csapatokat, a korábbi, kit-specifikus szabályok már nem feltétlenül elégségesek, helyettük viselkedés-alapú, dinamikus monitorozásra van szükség.
