نسل جدید ابزارهای فیشینگ هیبریدی احراز هویت دو مرحله‌ای را هدف قرار داده اند

اخبار اینترنت 4 دقیقه زمان مطالعه بروزرسانی در23 آذر, 1404

کارشناسان امنیت سایبری اعلام کرده‌اند که شیوه‌های کلاهبرداری اینترنتی (فیشینگ) وارد مرحله جدیدی شده است. به تازگی مشاهده شده که دو ابزار اصلی دزدیدن

کارشناسان امنیت سایبری اعلام کرده‌اند که شیوه‌های کلاهبرداری اینترنتی (فیشینگ) وارد مرحله جدیدی شده است. به تازگی مشاهده شده که دو ابزار اصلی دزدیدن رمزهای عبور و کدهای تأیید دو مرحله‌ای (2FA) ببه نام‌های Salty2FA و Tycoon2FA با یکدیگر ترکیب شده و یک ابزار ترکیبی جدید ایجاد کرده‌اند.

این کیت هیبردی بلافاصله یک سایت فیشینگ کامل با قابلیت‌های جمع‌آوری رمز عبور و حتی دور زدن احراز هویت دو مرحله‌ای (2FA) راه‌اندازی می‌کند و می‌توانند به گونه‌ای طراحی شوند که نه تنها رمز عبور، بلکه کدهای یک‌بار مصرف یا سشن‌های (Sessions) احراز هویت را نیز در زمان واقعی سرقت کنند.

کیت هیبردی فیشینگ؛ چه اتفاقی افتاده است؟

پیش از این، گروه‌های کلاهبرداری از ابزارهای جداگانه مانند استفاده از دو نوع کلید مجزا برای سرقت استفاده می کردند. اما تحلیل‌ها نشان می‌دهد که اخیراً ابزار اول (Salty2FA) دچار مشکل شده است که در نتیجه، سارقان اینترنتی، ابزار دوم (Tycoon2FA) را به صورت پشتیبان درون کدهای ابزار اول قرار داده‌اند.

به زبان ساده اگر کلاهبرداری با ابزار اصلی موفق نشود، ابزار پشتیبان (Tycoon2FA) بلافاصله عملیات را به دست می‌گیرد و سرقت را کامل می‌کند. این حمله ترکیبی یا “هیبریدی” اکنون ردپاهایی از هر دو ابزار را به جا می‌گذارد.

چرا این خبر مهم است؟

از آنجایی که این حملات ترکیبی هستند، پیدا کردن و مسدود کردن آن‌ها برای شرکت‌های امنیتی سخت‌تر می‌شود، زیرا قواعد قدیمی شناسایی ممکن است فقط یکی از دو ابزار را بشناسند. سارقان دیگر نگران از کار افتادن ابزارهایشان نیستند و حمله آن‌ها با احتمال موفقیت بالاتری ادامه می‌یابد.

چه باید کرد؟

کارشناسان توصیه می‌کنند که کاربران و شرکت‌ها بیش از پیش به هشدارهای امنیتی توجه کنند و به جای تکیه بر رمز عبور ساده، از روش‌های احراز هویت قوی‌تر استفاده کنند. همچنین، شرکت‌ها باید سیستم‌های امنیتی خود را برای شناسایی این حملات “هیبردی” به‌روزرسانی کنند تا بتوانند هر دو ردپای کلاهبرداری را همزمان تشخیص دهند.

Cybersecurity phishing threat illustration

تحلیل فنی فیشینگ هیبردی 2FA

در هفته‌های پایای اکتبر ۲۰۲۵، تحلیل‌گران امنیتی با یک تغییر معنادار در اکوسیستم فیشینگ مبتنی بر دور زدن احراز هویت دومرحله‌ای (2FA) مواجه شدند. داده‌های عملیاتی نشان می‌دهد فعالیت کیت فیشینگ Salty2FA که پیش‌تر یکی از بازیگران پرحجم این حوزه بود، به‌طور ناگهانی کاهش یافته و هم‌زمان نشانه‌هایی از هم‌پوشانی عمیق آن با کیت Tycoon2FA در نمونه‌های واقعی حملات مشاهده شده است. این تحول، فرضیات رایج درباره تفکیک روشن بین کیت‌های فیشینگ را با چالش جدی مواجه می‌کند و پیامدهای مستقیمی برای اتریبیوشن و مدل‌های شناسایی تهدید دارد.

بر اساس بررسی‌های انجام‌شده در محیط‌های سندباکس تعاملی، Salty2FA که پیش از این به‌طور میانگین صدها نمونه فعال در هفته داشت، از اوایل نوامبر با سقوط شدیدی در حجم نمونه‌ها روبه‌رو شده و به چند ده مورد در هفته رسیده است. این افت ناگهانی صرفاً به تغییر در الگوهای شناسایی محدود نبوده و شواهد فنی از بروز اختلال در زیرساخت این کیت حکایت دارد؛ از جمله دامنه‌هایی که به‌جای پاسخ NXDOMAIN با خطای SERVFAIL مواجه می‌شوند و نشان‌دهنده مشکلات سمت DNS و میزبانی هستند.

هم‌زمان با این افت، تحلیل‌گران با نمونه‌هایی مواجه شدند که به‌طور هم‌زمان نشانه‌های رفتاری و فنی هر دو کیت Salty2FA و Tycoon2FA را نشان می‌دهند. بررسی زنجیره اجرای این نمونه‌ها مشخص می‌کند که مراحل ابتدایی حمله کاملاً منطبق با منطق Salty2FA آغاز می‌شود، اما در صورت عدم دسترسی به زیرساخت اصلی، کد به‌صورت خودکار به یک مسیر جایگزین سوئیچ می‌کند که از زیرساخت و منطق اجرایی Tycoon2FA استفاده می‌کند. این رفتار عملاً Tycoon2FA را به‌عنوان یک payload پشتیبان یا fallback در دل کمپین‌های Salty معرفی می‌کند.

تحلیل کد سمت کلاینت این نمونه‌های هیبریدی نیز این هم‌پوشانی را تأیید می‌کند. بخش‌های اولیه شامل الگوهای شناخته‌شده Salty2FA مانند ساختارهای تکراری DOM و نشانه‌های متنی خاص است، در حالی که مراحل پایانی تقریباً به‌صورت خط‌به‌خط با زنجیره اجرای Tycoon2FA مطابقت دارد؛ از توابع رمزنگاری با مقادیر ثابت گرفته تا ارسال داده‌های سرقت‌شده به دامنه‌های مبتنی بر DGA و fast-flux. این سطح از شباهت، احتمال خطای اتریبیوشن را منتفی کرده و از یک ادغام عملیاتی واقعی خبر می‌دهد.

این یافته‌ها بار دیگر فرضیه ارتباط هر دو کیت با گروه تهدیدی Storm-1747 را تقویت می‌کند؛ گروهی که پیش‌تر به‌عنوان اپراتور اصلی Tycoon2FA شناخته می‌شد. اگر این ارتباط صحیح باشد، افت فعالیت Salty2FA نه به‌معنای توقف عملیات، بلکه به‌منزله جابه‌جایی یا تجمیع زیرساخت‌ها تحت یک چارچوب منعطف‌تر است. در چنین شرایطی، تغییرات مشاهده‌شده در یک کیت می‌تواند به‌سرعت در کیت دیگر نیز بازتاب پیدا کند.

از منظر دفاعی، این تحول نشان می‌دهد که اتکا به امضاهای ایستا و IOCهای مجزا برای هر کیت دیگر کفایت نمی‌کند. ظهور کیت‌های هیبریدی باعث تضعیف قوانین شناسایی مبتنی بر یک فریم‌ورک مشخص شده و نیاز به تمرکز بیشتر بر تحلیل رفتاری، منطق اجرای چندمرحله‌ای و الگوهای پایدار TTP را برجسته می‌کند. برای تیم‌های SOC، این به‌معنای بازنگری در منطق همبستگی هشدارها، به‌روزرسانی playbookهای پاسخ‌گویی و در نظر گرفتن سناریوهایی است که در آن یک کمپین فیشینگ می‌تواند در میانه اجرا بین چند فریم‌ورک جابه‌جا شود.

در مجموع، هم‌پوشانی Salty2FA و Tycoon2FA را می‌توان نشانه‌ای از بلوغ بیشتر مدل Phishing-as-a-Service دانست؛ مدلی که به‌سمت ماژولار شدن، تحمل‌پذیری بالاتر در برابر اختلال زیرساخت و انعطاف‌پذیری عملیاتی حرکت می‌کند. این روند، سطح پیچیدگی حملات فیشینگ را افزایش داده و مدافعان را ناگزیر می‌سازد تا از رویکردهای کلاسیک شناسایی فاصله گرفته و به تحلیل زنجیره‌ای و رفتاری تهدیدات تکیه کنند.