Kit de phishing Salty2FA contorna MFA e desafia defesas tradicionais

O Centro de Cibersegurança da Ontinue descobriu uma campanha de phishing que utiliza o kit Salty2FA, caracterizado por uma elevada sofisticação técnica e pela capacidade de contornar mecanismos de segurança avançados.

A campanha tem início com um email fraudulento que redireciona a vítima para uma página falsa de partilha de documentos, alojada numa plataforma legítima. De acordo com o relatório, esta infraestrutura, criada no início de setembro de 2025, explora contas de teste gratuita da plataforma.

Ao abrir o link, o utilizador é conduzido através de uma cadeia de ataque em várias fases. Entre os mecanismos usados encontra-se o captcha Cloudflare Turnstile, um recurso que foi concebido para bloquear bots, mas que neste caso atua como filtro contra ferramentas de análise automatizadas e ambientes de sandbox, o que dificulta o trabalho dos investigadores de segurança.

Outro aspeto relevante é a utilização de subdomínios dinâmicos, gerados por sessão. Cada vítima recebe um endereço exclusivo, o que torna praticamente impossível às equipas de segurança bloquear o site malicioso com listas negras tradicionais.

O kit distingue-se ainda pela sua capacidade de adaptação, através da personalização automática de páginas de login falsas consoante o domínio de email da vítima e que replica logótipos, cores e estilos das empresas visadas. Este método aumenta a probabilidade de sucesso das tentativas de phishing.

Os investigadores confirmaram que a campanha tem como alvos setores críticos como saúde, finanças, tecnologia e energia. O padrão indica um esforço sistemático para maximizar o impacto da engenheira social em áreas de grande sensibilidade.

O Salty2FA é capaz de simular seis formas diferentes de MFA, incluindo SMS, chamadas telefónicas e aplicações de autenticação. Com esta abordagem, o kit consegue convencer as vítimas de que se encontram num ambiente legítimo, enquanto ignora uma camada considerada crucial de proteção. Além disso, recorre a técnicas de ofuscação de código e anti-debugging que dificultam a análise técnica pelos peritos.

Apesar da complexidade, os investigadores não conseguiram atribuir a campanha a um grupo específico. A ausência de impressões digitais exclusivas e a utilização de técnicas amplamente disseminadas sugerem uma operação conduzida por cibercriminosos experiente, mas que optam por permanecer invisíveis.

Os dados recolhidos inserem-se numa tendência mais ampla de crescimento do phishing avançado. Um relatório da Menlo Security indica que este tipo de ataque aumentou 140% face a 2023, enquanto as campanhas de phishing de zero-hour registaram um crescimento de 130% no mesmo período.

Nicole Cariganan, Senior Vice President, Security & AI Strategy, and Field CISO da Darktrace, sublinha que não é sustentável confiar apenas nos colaboradores como última linha de defesa. A responsável considera essencial adotar ferramentas de machine learning que consigam identificar desvios em relação ao comportamento habitual dos utilizadores.

Já Jason Soroko, Senior Fellow da Sectigo, recorda que nem todas as soluções de MF2 oferecem o mesmo grau de proteção. Os mecanismos que dependem de segredos partilhados, como códigos de utilização única, podem ser tão vulneráveis a páginas falsas como as palavras-passe tradicionais. Para o especialista, a educação contínua e a consciencialização dos utilizadores permanecem fundamentais para reforçar a eficácia do MFA e limitar os riscos.