Küresel olarak olayların çoğunluğu, sürekli değişen siber tehdit dünyasında siber saldırılar için en yaygın vektör olmaya devam eden kimlik avı neden oluyor.
TyCoon2FA, EvilProxy ve Sneaky2FA gibi uygun fiyatlı kimlik avı (PHAA’lar) platformlarının çoğalması, bu sorunu daha da kötüleştirerek acemi saldırganların bile sofistike kampanyalar dağıtmasını sağladı.
Bu hizmetler sürekli olarak yeni kaçırma teknikleri ve genişletilmiş altyapı ile güncellenir, bu da tespiti giderek daha zor hale getirir.
Yeni kimlik avı çerçevesi
Son zamanlarda, any’deki araştırmacılar, onu yerleşik kitlerden ayıran benzersiz özellikler sergileyen Salty 2FA olarak adlandırılan daha önce belgelenmemiş bir Phaas çerçevesi ortaya çıkardı.
Öncelikle kimlik avı e-postaları yoluyla dağıtılan Salty 2FA, algılama ve analizi atlamak için tasarlanmış çok aşamalı bir yürütme zinciri aracılığıyla Microsoft 365 kimlik bilgilerini çalmaya odaklanır.
Bazı alan adını, Storm-1575 (Dadsec platformu ile ilişkili) ve Storm-1747 (Tycoon 2FA ile bağlantılı) gibi tehdit kümeleriyle örtüşürken, .RU alanları ve müşteri-yönü davranışları ile eşleştirilmiş bileşik .com alt alanlarını içeren farklı altyapısı, onu standalon varlığı olarak ayırır.
Bu çerçevenin adı, statik analizi gizlemek için ilham verici alıntılar gibi gürültüyü içeren “tuzlu” yüklerinden kaynaklanmaktadır ve seans türevi anahtarlar kullanılarak Base64 kodlama ve XOR şifrelemesi gibi gelişmiş gizleme yöntemleri ile birleştirilir.
Salty 2FA’nın yürütülmesi, bot koruması için Cloudflare turnikesini başlatan ilk “trambolin” komut dosyasıyla başlar ve ardından incelemeyi karmaşıklaştırmak için dolgu içeriği ile dolu şaşkın bir giriş komut dosyasının dağıtımını izler.
Sonraki aşamalar, .RU etki alanlarından şifreli yük alımını içerir, JQuery aracılığıyla erişilen dinamik olarak oluşturulan öğe kimlikleri ile sahte bir Microsoft giriş sayfası ve klavye kısayolu engelleme ve kum havuzu ortamlarını tespit etmek için hata ayıklama zamanlama kontrolleri dahil olmak üzere anti-analiz mekanizmaları oluşturur.
Veri püskürtme, / gibi uç noktalara gönderme sonrası isteklerle gerçekleşir.<5-6_digits>.php, çalınan kimlik bilgileri Base64+Xor ile kodlanır ve kurbanın oturum kimliğine anahtarlanır.
Çerçeve, push bildirimleri, SMS, sesli çağrılar ve OTP’ler gibi çoklu iki faktörlü kimlik doğrulama (2FA) yöntemlerini ele almada mükemmeldir ve rakiplerin gerçek zamanlı olarak doğrulama kodlarını kesmesine ve aktarmasına izin verir ve sadece kimlik hırsızlığının ötesinde kalıcı erişim sağlar.
JSON formatındaki sunucu yanıtları, e -posta istemlerinden 2FA işlemeye kadar sayfa durum geçişlerini belirler, kimlik avı sayfasının gerçekçiliğini ve uyarlanabilirliğini artırır.
Kaçma Stratejileri
Salty 2FA kurbanları, ABD, Avrupa ve ötesindeki hedefli kuruluşlarla finans, telekom, enerji, danışmanlık, lojistik ve eğitim dahil olmak üzere çeşitli endüstrileri kapsamaktadır.
Yaygın e-posta, sesli mesajlar, belge erişim istekleri veya bordro değişiklikleri gibi meşru iletişimi taklit eder, genellikle kurban e-postalarını URL ankrajları aracılığıyla önceden doldurur.
Aktivite Haziran 2025’te, Mart-Nisan’a kadar uzanan potansiyel öncülerle arttı ve günde düzinelerce sanal alan oturumu üretmeye devam ediyor.
Tespit, değiştirilebilir göstergeler nedeniyle zordur; Alanlar gibi statik IOC’ler sabit kod mutasyonlarının ortasında güvenilmezdir.
Bunun yerine, Com + .ru etki alanı zincirleri, belirli Cloudflare kaynak istekleri ve meşru CDN’lerden tutarlı kaynak yüklemesi gibi davranışsal kalıplar daha güvenilir imzalar sunar.
RUN’un etkileşimli sanal alan gibi araçlar gerçek zamanlı analizi kolaylaştırır, MITM proxy yakalamalarının trafiği ve harita yürütme akışlarını çözmesini sağlar, böylece IOC’leri zenginleştirir ve bunları daha geniş kampanyalara bağlar.
Salty 2FA’nın dönen kaptan ve parmak izi de dahil olmak üzere kaçırma teknikleri, büyük Phaas kitlerine benzer müthiş bir oyuncu olarak konumlandırılırken, sert kodlanmış öğeleri ve gelişmiş JavaScript sömürüsünün eksikliği sömürülebilir zayıflıkları ortaya çıkarır.
Güvenlik ekiplerine, proaktif savunma imzaları üzerinde davranışsal buluşsal yöntemlere öncelik vermeleri ve ortaya çıkan varyantları izlemek için tehdit istihbaratından yararlanmaları tavsiye edilir.
Uzlaşma Göstergesi (IOCS)
| Kategori | IOC |
|---|---|
| Alanlar | İnovasyon STEAMS[.]com Marketplace24ei[.]ru Nexttradeitaly[.]BT[.]com Frankfurtwebs[.]com[.]ile ilgili |
| Url’ler | Hxxps[://]telefon[.]Nexttradeitaly[.]com/sssuwbtmywu/ Hxxps[://]parazik olarak[.]Frankfurtwebs[.]com[.]/Ps6vzzb/ Hxxps[://]Marketplace24ei[.]ru // Hxxps[://]Marketplace24ei[.]RU/790628[.]PHP |
| E-posta çıkarılan IOCS | 153[.]127[.]234[.]4 51[.]89[.]33[.]171 191[.]96[.]207[.]129 153[.]127[.]234[.]5 Izumi[@]yurikamome[.]com |
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!