Le kit de phishing Salty2fa nouvellement surface montre que les attaquants peuvent contourner l’authentification multi-facteurs par des attaques de camouflage dans des plates-formes de confiance et imiter les défauts de connexion des entreprises.
Une campagne de phishing nouvellement découverte a été liée à Salty2FA, un cadre de phishing en tant que service conçu pour contourner l’authentification multi-facteurs (MFA).
« Salty2FA est un autre rappel que le phishing a mûri dans les opérations de qualité d’entreprise, avec des tactiques d’évasion avancées et des simulations de MFA convaincantes », a déclaré Brian Thornton, ingénieur principal des ventes chez Zimperium. «En exploitant des plates-formes de confiance et en imitant les portails d’entreprise, les attaquants brouillent les frontières entre le trafic réel et frauduleux.»
Observé pour la première fois à la mi-2025, Salty2FA a déjà alimenté plusieurs campagnes contre les utilisateurs de Microsoft 365 dans le monde.
MFA n’est pas le bouclier qu’il était
Dans la campagne, les attaquants ont mis en place une infrastructure en plusieurs étapes commençant par une redirection malveillante hébergée sur un nouveau compte «Aha (.) IO». Les victimes ont été canalisées via une porte de tourniquet Cloudflare pour filtrer l’analyse automatisée avant d’atterrir sur la page finale de la récolte d’identification. Là, SALTY2FA a simulé plusieurs flux de MFA, y compris les SMS, les applications d’authentification, les notifications push et même les jetons matériels – tout en appliquant une marque dynamique d’entreprise basée sur le domaine de messagerie de la victime pour faire apparaître les portails de phishing authentique.
La campagne montre comment les adversaires sapent le MFA, la pratique de sécurité a une fois revendiquée comme le moyen le plus sûr de protéger les comptes. Le kit utilise l’appariement de domaine, l’obscurcissement et la manipulation de tourniquet de cloudflare pour créer des portails presque indiscernables des pages de connexion légitimes. Ciso Shane Barney, de Keeper Security, l’a qualifié de «l’arrivée de Phishing 2.0-Attacks conçue pour contourner les organisations de sauvegardes qui ont une fois fait confiance».
En plus des défis de tourniquet Cloudflare, la campagne utilise la rotation du sous-domaine et le géo-bloquant pour une évasion avancée. Chaque victime obtient un sous-domaine unique, Sidesteping Domain Black Lissts, tandis que le trafic des fournisseurs de sécurité et des fournisseurs de cloud est bloqué, donc seuls les vrais utilisateurs atteignent la page de phishing.
Un appel à des défenses en couches et adaptatives
La lutte contre Salty2fa pourrait avoir besoin de quelque chose de plus que des mots de passe et des contrôles hérités, les experts de l’industrie ont convenu. Darren Guccione, PDG de Keeper Security, a fait valoir que Passkeys et l’authentification sans mot de passe devraient faire partie de la stratégie. « Ces technologies complètent les mesures de sécurité existantes en réduisant la dépendance aux mots de passe traditionnels, qui restent une cible principale pour le phishing », a-t-il déclaré.
Les chercheurs d’Onninue ont conseillé de s’éloigner des vérifications statiques, que Salty2Fa échappe facilement, vers le sable et l’inspection de l’exécution des domaines suspects. Ils soulignent également que la sensibilisation des utilisateurs reste critique, car les portails de phishing imitent si étroitement les sites légitimes que les contrôles techniques seuls ne peuvent pas les arrêter de manière fiable.
Barney a fait écho à la préoccupation et a soutenu que les techniques de détection statique sont inadéquates dans ce nouvel environnement. Au lieu de cela, a-t-il dit, les défenseurs doivent surveiller les anomalies du domaine, l’exécution inhabituelle de JavaScript et d’autres indices comportementaux subtils. Il a également souligné des méthodes résistantes au phishing comme les jetons FIDO2 et WebAuthn, qui rendent les codes volés inutiles, comme des garanties critiques.
La gestion de l’accès privilégié, un cadre zéro-trust et une formation continue sont recommandés comme clé pour limiter les retombées du vol d’identification. «Les organisations doivent être également adaptatives en combinant la détection comportementale, la visibilité du temps d’exécution et l’authentification résistante au phishing pour suivre le rythme d’une nouvelle génération de menaces», a ajouté Barney.
