Phishing-as-a-Service (PHAAS) -platforms blijven evolueren, waardoor aanvallers sneller en goedkopere manieren krijgen om in te breken op bedrijfsaccounts. Nu, onderzoekers van Any.run heeft een nieuwkomer ontdekt: SALTY2FAeen phishing-kit die is ontworpen om meerdere tweefactor-authenticatiemethoden te omzeilen en de traditionele verdedigingen uit te glijden.
Salty2FA heeft al gespot in campagnes in de VS en de EU en brengt ondernemingen in gevaar door zich te richten op industrieën van financiën tot energie. De multi-fase uitvoeringsketen, ontwijkende infrastructuur en het vermogen om referenties en 2FA-codes te onderscheppen, maken het een van de gevaarlijkste PHAAS-frameworks die dit jaar worden gezien.
Waarom Salty2FA de inzet voor ondernemingen opheft
Salty2fa’s vermogen Bypass-push, sms en spraakgebaseerde 2FA Middelen gestolen referenties kunnen rechtstreeks leiden tot accountovername. Al gericht op financiële, energie- en telecomsectoren verandert de kit gemeenschappelijke phishing-e-mails in inbreuken met een hoge impact.
Wie wordt het doelwit?
Elke VS en EU -ondernemingen zijn het meest getroffen.
| Regio | Belangrijke gerichte industrieën |
| Verenigde Staten | Financiën, gezondheidszorg, overheid, logistiek, energie, IT -consulting, onderwijs, constructie |
| Europa (VK, Duitsland, Spanje, Italië, Griekenland, Zwitserland) | Telecom, chemicaliën, energie (inclusief zonne -energie), industriële productie, onroerend goed, consulting |
| Wereldwijd / andere | Logistiek, IT, Metallurgy (India, Canada, Frankrijk, Latam) |
Wanneer begon Salty2FA ondernemingen te raken?
Op basis van gegevens van de Any.Run Sandbox en Ti begon Salty2FA -activiteit in juni 2025 aan kracht te worden, met vroege sporen die mogelijk dateren uit maart -april. Bevestigde campagnes zijn sinds eind juli actief geweest en gaan tot op de dag van vandaag door, waarbij ze dagelijks tientallen nieuwe analysesessies genereren.
Real-World Case: How Salty2FA exploiteert enterprise werknemers
Een recente zaak geanalyseerd door Any.Run laat zien hoe overtuigend Salty2FA in de praktijk kan zijn. Een werknemer ontving een e -mail met de onderwerpregel “Verzoek extern beoordeling: 2025 Betalingscorrectie”, Een kunstaas ontworpen om urgentie te activeren en scepsis te omzeilen.
Wanneer geopend in de sandbox van Any.Run, ontvouwde de aanvalsketen zich stap voor stap:
Bekijk real-world geval van Salty2FA-aanval
Fase 1: E -mail Lure
De e -mail bevatte een betalingscorrectieverzoek vermomd als een routinematig zakelijk bericht.
Word lid van 15k+ ondernemingen wereldwijd die de onderzoekstijd verkorten en stopt sneller inbreuken met elke.run
Ga nu aan de slag
Fase 2: Redirect en nep -login
De link leidde naar een inlogpagina van een Microsoft-merk, gewikkeld in CloudFlare-controles om geautomatiseerde filters te omzeilen. In de sandbox heeft de geautomatiseerde interactiviteit van elke.run de verificatie automatisch behandeld, waardoor de stroom zonder handmatige klikken wordt blootgelegd en onderzoekstijd voor analisten verkort.
Fase 3: Diefstal van de referentie
Werknemersgegevens die op de pagina waren ingevoerd, werden geoogst en geëxfiltreerd naar aan aanvallers gecontroleerde servers.
Fase 4: 2fa bypass
Als het account multi-factor authenticatie had ingeschakeld, heeft de phishing-pagina gevraagd om codes en zou het push, sms of zelfs spraakoproepverificatie kunnen onderscheppen.
Door het bestand in de Sandbox uit te voeren, konden SOC -teams de volledige uitvoeringsketen in realtime zien, van de eerste klik tot diefstal en 2FA -onderschepping. Dit niveau van zichtbaarheid is van cruciaal belang, omdat statische indicatoren zoals domeinen of hashes dagelijks muteren, maar gedragspatronen consistent blijven. Sandbox -analyse geeft een snellere bevestiging van bedreigingen, verminderde werklast van analisten en een betere dekking tegen evoluerende PHAAS -kits zoals Salty2FA.
Salty2fa stoppen: wat SOC’s daarna zouden moeten doen
SALTY2FA laat zien hoe snel phishing-as-a-service evolueert en waarom statische indicatoren alleen niet stoppen. Voor SOC’s en beveiligingsleiders betekent bescherming om de focus te verleggen naar gedrag en reactiesnelheid:
- Vertrouw op gedragsdetectie: Volg terugkerende patronen zoals domeinstructuren en paginalogica in plaats van constant veranderende IOC’s te jagen.
- Ontdekt verdachte e -mails in een sandbox: Volledige keten zichtbaarheid onthult diefstal van diefstal en 2FA-onderscheppingen in realtime.
- Harden MFA -beleid: Geef de voorkeur aan app-gebaseerde of hardwaretokens boven sms en spraak en gebruik voorwaardelijke toegang tot vlaggene risicovolle aanmeldingen.
- Train werknemers op financiële kunstaas: Veel voorkomende haken zoals “betalingscorrectie” of “factureringsverklaring” moeten altijd verdenking verhogen.
- Integreer sandbox -resultaten in uw stapel: Live aanvalsgegevens voeren in SIEM/SOAR -snelheden detectie en vermindert de handmatige werklast.
Door deze maatregelen te combineren, kunnen ondernemingen Salty2FA veranderen van een verborgen risico in een bekende en beheersbare bedreiging.
Boost SOC -efficiëntie met interactieve sandboxing
Ondernemingen wereldwijd wenden zich tot interactieve sandboxen zoals elke. Run om hun verdediging tegen geavanceerde phishing -kits zoals SALTY2FA te versterken. De resultaten zijn meetbaar:
- 3 × SOC -efficiëntie door interactieve analyse en automatisering te combineren.
- Tot 50% sneller onderzoekhet snijden van de tijd van uren tot minuten.
- 94% van de gebruikers meldt sneller triagemet duidelijkere IOC’s en TTP’s voor zelfverzekerde besluitvorming.
- 30% minder Tier 1 – tier 2 escalatiesomdat junior analisten vertrouwen krijgen en senior personeel vrij is om zich te concentreren op kritieke taken.
Met zichtbaarheid in 88% van de bedreigingen in minder dan 60 secondenondernemingen krijgen de snelheid en de duidelijkheid die ze nodig hebben om phishing te stoppen voordat het leidt tot een grote inbreuk.
Probeer elke.run vandaag: gebouwd voor enterprise SOC’s die snellere onderzoeken, sterkere verdedigingen en meetbare resultaten nodig hebben.
