Киберугрозы августа 2025: Tycoon2FA, ClickFix и новый фреймворк Salty2FA

Август 2025 года ознаменовался серией сложных кибератак, которые продемонстрировали эволюцию тактик злоумышленников. Эксперты ANY.RUN выделили три ключевые угрозы: многостадийную фишинг-атаку Tycoon2FA, кампанию по распространению инфостилер Rhadamanthys через ClickFix с использованием стенографии, а также новый PhaaS-фреймворк Salty2FA, связанный с группировкой Storm-1575.

Описание

Многоэтапная атака Tycoon2FA стала одним из наиболее изощренных фишинг-сценариев месяца. В отличие от массовых рассылок, эта кампания нацелена на организации государственного и финансового секторов в США, Великобритании, Канаде и Европе. Атака включает семь последовательных этапов: от фишинг-письма с темой голосовой почты до финальной страницы ввода учетных данных Microsoft. Ключевыми элементами обхода защиты стали Cloudflare Turnstile CAPTCHA и проверка удержания кнопки, которые эффективно отсеивают автоматические сканеры и требуют человеческого взаимодействия. По данным ANY.RUN, 26% проанализированных инцидентов Tycoon2FA нацеленных на банковский сектор, что подтверждает ориентацию на важные цели.

Второй значительной угрозой связан с распространением инфостилера Rhadamanthys через социальную инженерию ClickFix. Злоумышленники использовали MSI-пакеты, которые устанавливали вредоносный код в память (T1218.007 по MITRE ATT&CK) и применяли PNG стенограцию для сокрытия полезной нагрузки. Rhadamanthys демонстрирует передовые методы уклонения, включая проверки на использование виртуализации и прямое TLS-подключение к IP-адресам в обход DNS-мониторинга. Особенностью кампании стало использование самоподписанных сертификатов с несоответствующими полями Issuer и Subject, что создает артефакты для расследования.

Фреймворк Salty2FA, атрибутированный группировке Storm-1575, представляет собой полноценное Phishing-as-a-Service решение, способное обходить почти все методы двухфакторной аутентификации. Название фреймворка отражает технику "salting" исходного кода, затрудняющую анализ. Атака нацелена на аккаунты Microsoft 365 в финансовом, энергетическом, здравоохранения и государтсвенных секторах. Salty2FA использует adversary-in-the-middle атаки (T1557) для перехвата OTP, push-уведомлений и даже голосовых вызовов. Инфраструктура строится на шаблонах subdomains .??.com в сочетании с .ru domains.

Анализ этих угроз в интерактивной песочнице ANY.RUN показал, что традиционные методы защиты, основанные на статических IOCs, недостаточно эффективны. Современные атаки требуют поведенческого анализа и автоматизации расследований.

Эксперты подчеркивают, что компании демонстрируют четкий тренд: злоумышленники комбинируют социальную инженерию с техническими методами обхода защиты, делая ставку на постоянство и адаптивность.