Salty2FA eleva phishing a um novo patamar no mercado empresarial
São Paulo — InkDesign News — Uma recente campanha de phishing utilizando o kit Salty2FA demonstra a evolução das ferramentas cibernéticas de criminosos, equiparando-se a software de nível empresarial, afirmam especialistas.
Vetor de ataque
A operação foi detectada quando os atacantes registraram rapidamente uma conta de avaliação no domínio legítimo Aha.io, no dia 3 de setembro, imitando uma empresa conhecida e não divulgada. Essa estratégia aproveita a confiança do usuário em plataformas legítimas, conforme relatado. Os atacantes implantaram uma página de compartilhamento no OneDrive, ancorando a campanha em uma isca que afirma compartilhar um documento importante.
O kit de phishing inclui funcionalidades avançadas, como rotação de subdomínios a cada solicitação de sessão e a capacidade de simular seis métodos de autenticação multifatorial (MFA). Além disso, o uso do Cloudflare Turnstile, solução de CAPTCHA, torna a detecção mais desafiadora para pesquisadores de segurança.
Impacto e resposta
Os pesquisadores da Ontinue não conseguiram atribuir a campanha a um ator de ameaça específico, mas analisaram meticulosamente as táticas e ferramentas utilizadas. O kit Salty2FA mantém um banco de dados de temas corporativos, personalizando interfaces fraudulentas baseadas em domínios de e-mail, produzindo replicas convincentes de portais de autenticação corporativos.
“A evolução do phishing se tornou uma operação de nível empresarial, com táticas de evasão avançadas e simulações convincentes de MFA”
(“Phishing has matured into enterprise-grade operations, complete with advanced evasion tactics and convincing MFA simulations.”)— Brian Thornton, Engenheiro de Vendas Sênior, Zimperium
Análise e recomendações
Em resposta a essas ameaças em evolução, as organizações devem melhorar suas defesas. A complexidade do Salty2FA pressiona empresas a adotarem medidas de proteção em várias camadas, que vão além da segurança de e-mail e rede, incluindo endpoints e dispositivos móveis.
Shane Barney, CISO da Keeper Security, destaca que é preciso uma mudança de mentalidade para combater campanhas desenvolvidas por kits de phishing avançados, recomendando uma abordagem mais orientada para comportamentos. Isso envolve monitorar por anomalias de domínio e padrões de execução de JavaScript dinâmico como indicadores de compromisso.
Com o aumento das capacidades dos kits de phishing, o setor de segurança cibernética deve se adaptar rapidamente. A integração de novas tecnologias e métodos de defesa será crucial para prevenir a exploração de dados sensíveis e manter a segurança das informações corporativas.
Fonte: (Dark Reading – Segurança Cibernética)
