行业新闻与博客

网络安全研究人员发现了利用 Salty2FA 工具包的网络钓鱼活动，揭示了先进的技术，凸显了网络犯罪活动日益专业化。

该套件展示了高度的技术创新，其分层防御设计可以绕过传统的检测。

Ontinue 网络防御中心的研究人员发现了此次攻击活动的几种独特方法：

• 基于会话的子域名轮换，为每个受害者会话分配唯一的域名

• 滥用 Aha [.] io 等合法平台来投放网络钓鱼诱饵

• 企业品牌复制，使用公司特定的徽标和颜色定制登录页面

• 集成 Cloudflare 的 Turnstile 来阻止自动分析并过滤安全供应商流量

这种策略组合使得该操作在欺骗用户方面特别有效，同时使法医调查变得复杂。 

Zimperium 高级销售工程师 Brian Thornton 表示：“Salty2FA 再次提醒我们，网络钓鱼已经发展成为企业级操作，并配备了先进的规避策略和令人信服的 MFA 模拟。”

“通过利用可信平台和模仿企业门户，攻击者模糊了真实流量和欺诈流量之间的界限。”

该攻击活动采用分层结构，首先进行重定向，旨在模仿合法的 .com.de 域名。受害者会先受到 Cloudflare 的保护，然后被引导至凭证窃取门户。

每个阶段都会为自动分析引入新的障碍，最终形成使用受害者公司身份定制的欺诈性登录页面。

测试证实，医疗保健、金融、科技、能源和汽车等行业均成为攻击目标。通过根据受害者的域名定制品牌，攻击者最大限度地提升了社会工程学的成功率。

Bugcrowd 首席战略和信托官 Trey Ford 表示：“这不是针对老年人的典型骗局；这是针对具有真正分层安全措施的复杂目标。”

“这里的能力旨在按顺序击败——逃避、品牌推广、平台使用以及设计和部署的复杂性。”

该工具包还使用混淆的 JavaScript 来阻止浏览器开发者工具、检测调试延迟，并在尝试分析时强制执行无限循环。此外，关键字符串仅在运行时进行异或加密和解密，从而隐藏了静态检查的操作逻辑。

网络分析进一步揭示了多个基础设施节点之间的跨域流量，这种设计旨在分散风险和逃避删除。

虽然归因尚不明确，但系统性分析表明这是一个有组织的威胁集团。分析人士指出，当钓鱼门户网站对合法身份验证系统进行精确到像素的模仿时，依赖拼写错误或未加密网站等传统指标已不再可靠。

Keeper Security 首席信息安全官 Shane Barney 表示：“Salty2FA 标志着网络钓鱼 2.0 时代的到来——这种攻击旨在绕过组织曾经信任的安全措施。”

“当对手能够拦截最常见的验证方法时，多因素身份验证不再是安全的保证。”

Darktrace 高级副总裁 Nicole Carignan 补充道：“尽管人们越来越重视电子邮件安全，但企业及其员工仍然受到网络钓鱼攻击的困扰 [...]。企业不能依赖员工作为抵御这些攻击的最后一道防线。”

研究结果强调了加强用户意识以及更新防御策略以应对动态、多层次威胁的必要性。