Salty2FA: Novo Kit de Phishing que Bypassa Autenticação em Dupla Etapa

Pesquisadores da ANY.RUN descobriram o Salty2FA, um novo kit de phishing-as-a-service (PhaaS) projetado para contornar múltiplos métodos de autenticação de dois fatores (2FA), incluindo push, SMS e autenticação por voz.

Alvo Principal

• Regiões: Empresas dos EUA e União Europeia são as mais afetadas
• Setores: Finanças, saúde, energia, telecomunicações, governo e manufatura industrial
• Início das atividades: Campanhas confirmadas desde julho de 2025, com possíveis traços desde março-abril

Como Funciona o Ataque

O Salty2FA opera em um fluxo de execução em vários estágios:

1. Isco por email: Mensagens convincentes com assuntos como "Solicitação de Revisão Externa: Correção de Pagamento 2025"
2. Redirecionamento e login falso: Páginas de login falsas da Microsoft protegidas por verificações do Cloudflare
3. Roubo de credenciais: Coleta de dados de login dos funcionários
4. Bypass de 2FA: Interceptação de códigos de autenticação push, SMS ou voz

Recomendações de Segurança

• Detecção comportamental: Rastrear padrões em vez de indicadores estáticos
• Sandboxing: Analisar emails suspeitos em ambientes controlados
• Reforçar políticas MFA: Preferir tokens de hardware ou aplicativos em vez de SMS/voice
• Treinamento de funcionários: Alertar sobre iscos financeiros comuns
• Integração com SIEM/SOAR: Automatizar respostas a ameaças

Impacto nas Organizações

O Salty2FA representa uma evolução significativa nas plataformas PhaaS, permitindo que invasores contornem defesas tradicionais e realizem takeover de contas corporativas com credenciais e códigos 2FA roubados.

Empresas devem adotar uma abordagem proativa combinando sandboxing interativo, detecção comportamental e políticas de segurança reforçadas para mitigar essa ameaça.