La plataforma Phishing-As-A-Service (PHAAS) continúa evolucionando y ofrece a los atacantes una forma más rápida y barata de infiltrarse en cuentas corporativas. Ahora, cualquiera de los investigadores de los que se encuentran descubrieron un nuevo participante llamado Salty2FA, un kit de phishing diseñado para evitar múltiples métodos de autenticación de dos factores y deslizarse más allá de las defensas tradicionales.
Ya se descubrió en las campañas de EE. UU. Y la UE, Salty2FA pone a las empresas en riesgo al atacar a las industrias de finanzas a energía. La cadena de ejecución de múltiples etapas, la infraestructura de evasión y la capacidad de interceptar credenciales y código 2FA lo convierten en uno de los marcos PHAA más peligrosos que hemos visto este año.
Por qué Salty2FA aumenta los intereses corporativos
La capacidad de Salty2FA para evitar el empuje, los SMS y 2FA basados en la voz, las credenciales robadas podrían conducir a las adquisiciones de cuentas directamente. Ya apuntando al sector de finanzas, energía y comunicaciones, el kit está convirtiendo los correos electrónicos comunes de phishing en violaciones altamente influyentes.
¿Quién está siendo atacado?
Any. Las empresas de EE. UU. Y la UE han sido más afectadas.
Industria clave regional de la industria de la industria estadounidense, la salud, el gobierno, la logística, la energía, la consultoría de TI, la consultoría de TI, la educación, la construcción de Europa (Reino Unido, Alemania, España, Italia, Grecia, Suiza) telecomunicaciones, productos químicos, energía (incluida la energía solar), la fabricación industrial, bienes raíces, globales / otras logística, Met Althalogy (India, France, Rateum)
¿Cuándo comenzó a Salty2FA a golpear a las empresas?
Basado en cualquiera de los datos de Sandbox y Ti, la actividad de Salty2FA comenzó a ganar impulso en junio de 2025. La campaña confirmada ha estado activa desde finales de julio y continúa hasta el día de hoy, produciendo docenas de nuevas sesiones analíticas cada día.
Caso del mundo real: cómo salty2fa aprovecha a los empleados empresariales
Un caso reciente, analizado por cualquiera, muestra cuán persuasivo es Salty2FA de hecho. El empleado recibió un correo electrónico con la línea de asunto «Solicitud de revisión externa: enmienda de pago 2025».
Cuando se abre en cualquier caja de arena, la cadena de ataque se desarrolló en etapas.
Muestra el caso real de un ataque salty2fa
Se analizaron los correos electrónicos maliciosos que contienen ataques Salty2FA dentro de cualquiera.
Etapa 1: señuelo por correo electrónico
El correo electrónico incluía solicitudes de corrección de pago que disfrazaban los mensajes comerciales diarios.
Únase a 15k+ empresas en todo el mundo para reducir los tiempos de investigación y detener las violaciones más rápido.
Empiece ahora ahora
Etapa 2: Redirección e inicio de sesión falso
Este enlace condujo a una página de inicio de sesión de marca Microsoft, que evitó el filtro automatizado envuelto en una verificación de CloudFlare. En Sandbox, Any. La interactividad automatizada de RUN manejó la validación automáticamente, exponiendo flujos sin clics manuales, reduciendo el tiempo de investigación del analista.
La verificación de CloudFlare se completó automáticamente dentro de cualquiera.
Etapa 3: robo de calificación
Los detalles del empleado ingresados en la página fueron cosechados y extraídos a los servidores controlados por el atacante.
Página falsa de Microsoft, lista para robar credenciales de la víctima
Etapa 4: 2FA Bypass
Si su cuenta tenía habilitada la autenticación multifactorial, se solicitó el código de la página de phishing y podría interceptar la verificación de las llamadas de empuje, SMS o voz.
Al ejecutar archivos en el sandbox, el equipo de SOC pudo ver la cadena de ejecución completa en tiempo real, desde los clics iniciales hasta el robo de credenciales y las intercepciones de 2FA. Este nivel de visibilidad es importante. Esto se debe a que los indicadores estáticos, como los dominios y los hashes, cambian diariamente, pero los patrones de comportamiento siguen siendo consistentes. El análisis de Sandbox proporciona una mejor cobertura para la detección de amenazas, reducir las cargas de trabajo de los analistas y en evolución de los kits PHAA como Salty2FA.
Detener salty2fa: lo que SOC debería hacer a continuación
Salty2FA muestra qué tan rápido está evolucionando el phishing como servicio, y por qué solo los indicadores estáticos no lo detienen. Para los SOC y los líderes de seguridad, la protección significa cambiar el enfoque a la velocidad de acción y respuesta.
Confíe en la detección del comportamiento: en lugar de perseguir los CII constantes, rastrea patrones recurrentes como la estructura de dominio y la lógica de la página. Explotando correos electrónicos sospechosos en Sandbox: la visibilidad de la cadena completa revela robo de credenciales e intenta interceptar 2FA en tiempo real. Política de Harden MFA: aboga por la aplicación o tokens de hardware sobre SMS y voz, y utiliza acceso condicional a inicios de sesión en riesgo de banderas. Capacitación de empleados con señuelos financieros: los ganchos comunes como «correcciones de pago» y «documentos de reclamo» siempre deben generar dudas. Integre los resultados de Sandbox en la pila. Alimente los datos de ataque en vivo en la detección de velocidad SIEM/SOAR para reducir las cargas de trabajo manuales.
Al combinar estas medidas, las empresas pueden convertir salty2fa de los riesgos ocultos en amenazas manejables conocidas.
Aumentar la eficiencia SOC con Sandbox interactivo
Las empresas de todo el mundo están recurriendo a cajas de arena interactivas como cualquiera. Los resultados son medibles:
Combina análisis interactivo y automatización para una eficiencia de 3x SOC. Reducimos los tiempos de encuesta de horas a minutos y realizamos encuestas hasta un 50% más rápido. El 94% de los usuarios informan triaje más rápido y usan IOC y TTP más claros para decisiones seguras. La escalada de nivel de 1-2 niveles es 30% menos, ya que los analistas junior ganan confianza y el personal superior se libera para centrarse en las tareas clave.
Al visualizar el 88% de la amenaza en menos de 60 segundos, las empresas obtienen la velocidad y la claridad que necesitan para detener el phishing.
Pruebe cualquier.
Source link
