Группа кибербезопасности Ontinue Cyber Defence Center обнаружила новую сложную фишинговую кампанию, использующую набор инструментов Salty2FA. Атака демонстрирует ряд технических новшеств, которые подчёркивают растущую изощрённость методов мошенников. Исследователи зафиксировали современные методы уклонения от обнаружения, что свидетельствует о непрерывном развитии возможностей фишинговых комплексов.
Описание
Кампания использует сессионную ротацию поддоменов - для каждого запроса генерируется новый поддомен, что затрудняет блокировку. Кроме того, злоумышленники злоупотребляют легитимными платформами, такими как aha[.]io, для размещения первоначальной фишинговой страницы. Для обхода систем защиты активно применяются возможности Cloudflare, включая механизм Turnstile, который блокирует запросы от определённых автономных систем (ASN) и выполняет анти-отладочный анализ.
Одной из наиболее примечательных особенностей Salty2FA является функция автоматического оформления фишинговых страниц в соответствии с корпоративным стилем жертвы. Набор анализирует домен электронной почты пользователя и подгружает соответствующие логотипы, цветовые схемы и элементы дизайна. Тестирование подтвердило, что инструмент поддерживает широкий спектр отраслей - от здравоохранения и финансовых услуг до технологических, энергетических и автомобильных компаний.
На текущий момент не установлена точная принадлежность кампании к какой-либо группе злоумышленников. Однако уровень технической подготовки и системный подход указывают на опытных киберпреступников или организованные операции.
Доступ к жертвам осуществляется через недавно созданные учётные записи на платформе Aha[.]io, где размещается ссылка на вредоносную страницу, имитирующую интерфейс OneDrive. Далее пользователь перенаправляется на многоэтапную инфраструктуру, включающую проверку CAPTCHA через Cloudflare Turnstile и финальную страницу сбора учётных данных.
Для противодействия анализу злоумышленники применяют блокировку IP-адресов, связанных с провайдерами безопасности и песочницами, что вынуждает аналитиков использовать резидентные VPN для доступа к содержимому. Кроме того, реализованы сложные анти-отладочные механизмы на JavaScript, которые блокируют открытие инструментов разработчика, отслеживают задержки выполнения кода и обнаруживают активность консоли.
Важной частью атаки является симуляция многофакторной аутентификации (MFA). Salty2FA поддерживает шесть методов проверки: SMS-коды, TOTP-коды приложений, звонки, push-уведомления, резервные коды и аутентификацию через аппаратные токены. Это повышает доверие жертв и увеличивает шансы на успех операции.
Сетевой анализ показывает, что инфраструктура кампании распределена по нескольким доменам, включая marketmagnet[.]ru, что может использоваться для загрузки дополнительных полезных нагрузок или сбора данных. Весь код тщательно обфусцирован с помощью XOR-шифрования, что значительно усложняет статический анализ.
Эксперты подчёркивают, что современные фишинговые операции всё больше напоминают легитимную разработку программного обеспечения. Использование качественного HTTPS, обход систем безопасности и точное визуальное копирование корпоративных ресурсов делают традиционные методы обнаружения малоэффективными. В таких условиях ключевую роль играет обучение пользователей и применение комплексных мер защиты, включающих как технические средства, так и оперативное реагирование.
Индикаторы компрометации
Domains
- barrel.cloudnestde.com.de
- decompression.cloudnestde.com.de
- manumission.cloudnestde.com.de
- marketmagnet.ru
- reallocate.cloudnestde.com.de
- telegraphist.cloudnestde.com.de
- weightlifter.cloudnestde.com.de
URLs
- https://cloudnestde.com.de/ZSVL5u7zun5/
URL Patterns
- cloudnestde.com.de/[A-Za-z0-9]{10,}/
