行業新聞與博客

網絡安全研究人員發現了利用 Salty2FA 工具包的網絡釣魚活動，揭示了先進的技術，凸顯了網絡犯罪活動日益專業化。

該套件展示了高度的技術創新，其分層防禦設計可以繞過傳統的檢測。

Ontinue 網絡防禦中心的研究人員發現了此次攻擊活動的幾種獨特方法：

• 基於會話的子域名輪換，為每個受害者會話分配唯一的域名

• 濫用 Aha [.] io 等合法平台來投放網絡釣魚誘餌

• 企業品牌複製，使用公司特定的徽標和顏色定製登錄頁面

• 集成 Cloudflare 的 Turnstile 來阻止自動分析並過濾安全供應商流量

這種策略組合使得該操作在欺騙用户方面特別有效，同時使法醫調查變得複雜。 

Zimperium 高級銷售工程師 Brian Thornton 表示：“Salty2FA 再次提醒我們，網絡釣魚已經發展成為企業級操作，並配備了先進的規避策略和令人信服的 MFA 模擬。”

“通過利用可信平台和模仿企業門户，攻擊者模糊了真實流量和欺詐流量之間的界限。”

該攻擊活動採用分層結構，首先進行重定向，旨在模仿合法的 .com.de 域名。受害者會先受到 Cloudflare 的保護，然後被引導至憑證竊取門户。

每個階段都會為自動分析引入新的障礙，最終形成使用受害者公司身份定製的欺詐性登錄頁面。

測試證實，醫療保健、金融、科技、能源和汽車等行業均成為攻擊目標。通過根據受害者的域名定製品牌，攻擊者最大限度地提升了社會工程學的成功率。

Bugcrowd 首席戰略和信託官 Trey Ford 表示：“這不是針對老年人的典型騙局；這是針對具有真正分層安全措施的複雜目標。”

“這裏的能力旨在按順序擊敗——逃避、品牌推廣、平台使用以及設計和部署的複雜性。”

該工具包還使用混淆的 JavaScript 來阻止瀏覽器開發者工具、檢測調試延遲，並在嘗試分析時強制執行無限循環。此外，關鍵字符串僅在運行時進行異或加密和解密，從而隱藏了靜態檢查的操作邏輯。

網絡分析進一步揭示了多個基礎設施節點之間的跨域流量，這種設計旨在分散風險和逃避刪除。

雖然歸因尚不明確，但系統性分析表明這是一個有組織的威脅集團。分析人士指出，當釣魚門户網站對合法身份驗證系統進行精確到像素的模仿時，依賴拼寫錯誤或未加密網站等傳統指標已不再可靠。

Keeper Security 首席信息安全官 Shane Barney 表示：“Salty2FA 標誌着網絡釣魚 2.0 時代的到來——這種攻擊旨在繞過組織曾經信任的安全措施。”

“當對手能夠攔截最常見的驗證方法時，多因素身份驗證不再是安全的保證。”

Darktrace 高級副總裁 Nicole Carignan 補充道：“儘管人們越來越重視電郵安全，但企業及其員工仍然受到網絡釣魚攻擊的困擾 [...]。企業不能依賴員工作為抵禦這些攻擊的最後一道防線。”

研究結果強調了加強用户意識以及更新防禦策略以應對動態、多層次威脅的必要性。