Descoberta e panorama
Pesquisadores detectaram amostras híbridas que mesclam elementos de Salty2FA e Tycoon2FA, permitindo que uma falha na infraestrutura de um kit acione um fallback para o outro e mantendo a cadeia de ataque ativa.
O que mudou agora
Relatórios baseados em análises de sandbox mostram que uploads de amostras de Salty2FA caíram “de centenas por semana para menos de 50” no início de novembro, segundo observações compiladas pela equipe que analisou as amostras. Coincidentemente, foi identificada uma onda de payloads híbridos em que scripts iniciais associados ao Salty2FA executam um comando codificado para buscar conteúdo malicioso hospedado pela infraestrutura ligada ao Tycoon2FA quando os domínios primários retornam erros DNS (SERVFAIL).
Abordagem técnica
O artefato inicial dessas campanhas mantém a estrutura “trampoline” típica do Salty2FA — páginas HTML/script que carregam o estágio seguinte da cadeia. Quando a resolução DNS falha, o mesmo script contém rotinas de fallback que recuperam o payload do Tycoon2FA, reproduzindo quase integralmente a cadeia de execução conhecida deste último, até mesmo em convenções de nome de variáveis e métodos de encriptação observadas.
Esses comportamentos incluem rede para domínios gerados por DGA e infraestruturas fast-flux, além de padrões de comunicação que já são associados ao Tycoon2FA. A sobreposição de TTPs (tactics, techniques and procedures) sugere que as duas famílias podem ser operadas pelo mesmo cluster de ameaça ou por operadores que compartilham ferramentas e redundância operacional.
Impacto e quem deve se preocupar
Campanhas que combinam kits complicam detecção centrada em IOCs estáticos. Organizações com exposição a logins federados, portais web corporativos e equipes que tratam de credenciais devem revisar lógicas de correlação entre sinais de Salty2FA (trampolines HTML, artefatos iniciais) e as comunicações e comportamentos de rede típicos do Tycoon2FA.
- Alvo primário: credenciais corporativas (enterprise credentials) via phishing.
- Vetor: páginas/trampolines HTML, redirecionamentos e payloads que substituem MFA usando técnicas AiTM já conhecidas do Tycoon2FA.
Recomendações operacionais
Analistas sugerem tratar ambas as famílias como um único cluster de ameaça e consolidar regras que correlacionem eventos de entrega (trampolines, formulários de phishing) com padrões de rede (DGA, fast-flux, C2). Ferramentas de sandbox e correlação de rede devem priorizar sinais comportamentais — e não apenas indicadores estáticos de arquivo — para detectar uma transição entre kits durante a execução.
Limites das informações
As análises citadas são baseadas em amostras submetidas a sandboxes e pesquisas de código; as fontes não divulgam número de vítimas finais nem identificadores de organizações comprometidas. A atribuição direta a um ator único depende de correlações adicionais de inteligência — embora a Microsoft venha rastreando um cluster relacionado como Storm-1747, a conexão operacional entre kits ainda é hipótese construída a partir de TTPs e sem um manifesto público do operador.
O que muda para SOCs
Equipes de detecção e resposta devem atualizar playbooks: correlacionar IOCs iniciais de Salty2FA com as técnicas de evasão e rede do Tycoon2FA, incluir detecções centradas em comportamento de navegador e fertilizar regras para identificar tentativas de AiTM que visem MFA. A consolidação de telemetria entre deteção de phishing e análise de tráfego DNS/HTTP aumenta chances de interceptar a cadeia híbrida antes do exfil de credenciais.
Fontes: Cyber Security News; análises públicas de sandboxes e observações de ANY.RUN e reportes correlacionados.