Trong bối cảnh các mối đe dọa mạng liên tục thay đổi, tấn công lừa đảo (phishing) vẫn là véc-tơ phổ biến nhất gây ra phần lớn các sự cố an ninh mạng trên toàn cầu. Sự phổ biến của các nền tảng Phishing-as-a-Service (PhaaS) giá cả phải chăng, như Tycoon2FA, EvilProxy và Sneaky2FA, đã làm trầm trọng thêm tình hình, cho phép ngay cả những kẻ tấn công thiếu kinh nghiệm cũng có thể triển khai các chiến dịch lừa đảo tinh vi. Các dịch vụ này liên tục được cập nhật với các kỹ thuật né tránh mới và cơ sở hạ tầng mở rộng, khiến việc phát hiện ngày càng trở nên thách thức.

Giới thiệu Framework Phishing-as-a-Service: Salty 2FA

Gần đây, các nhà nghiên cứu tại ANY.RUN đã phát hiện một framework Phishing-as-a-Service (PhaaS) chưa từng được ghi nhận trước đây, được đặt tên là Salty 2FA. Framework này thể hiện các đặc điểm độc đáo, phân biệt nó với các bộ công cụ đã biết trên thị trường.

Đặc điểm Kỹ thuật và Mục tiêu của Salty 2FA

Salty 2FA được phân phối chủ yếu thông qua các email lừa đảo, tập trung vào việc đánh cắp thông tin đăng nhập Microsoft 365. Framework này sử dụng một chuỗi thực thi nhiều giai đoạn được thiết kế để vượt qua các cơ chế phát hiện và phân tích bảo mật.

Mặc dù Salty 2FA có một số điểm trùng lặp về tên miền với các nhóm tác nhân đe dọa như Storm-1575 (liên quan đến nền tảng Dadsec) và Storm-1747 (liên kết với Tycoon 2FA), nhưng cơ sở hạ tầng của nó lại khác biệt. Điều này bao gồm việc sử dụng các tên miền phụ .com kết hợp với các tên miền .ru, cùng với các hành vi phía máy khách độc đáo, khiến nó trở thành một thực thể độc lập.

Tên của framework này, Salty 2FA, bắt nguồn từ việc sử dụng các payload được “làm mặn” (salted). Các payload này tích hợp nhiễu, chẳng hạn như các câu trích dẫn truyền cảm hứng, nhằm mục đích làm xáo trộn quá trình phân tích tĩnh. Điều này được kết hợp với các phương pháp che giấu nâng cao, bao gồm mã hóa Base64 và mã hóa XOR sử dụng các khóa phái sinh từ ID phiên của nạn nhân, giúp tăng cường khả năng né tránh các công cụ phân tích tự động.

Chuỗi Thực thi và Phương thức Xâm nhập của Salty 2FA

Quy trình thực thi của Salty 2FA bắt đầu với một tập lệnh “trampoline” ban đầu. Tập lệnh này khởi tạo Cloudflare Turnstile để bảo vệ khỏi bot.

Giai đoạn Khởi tạo và Tải Script

Tiếp theo, một tập lệnh đầu vào bị xáo trộn (obfuscated entry script) được chuyển giao. Tập lệnh này chứa đầy nội dung lấp đầy (filler content) để làm phức tạp quá trình kiểm tra và phân tích mã. Việc sử dụng kỹ thuật này nhằm mục đích làm rối loạn các công cụ phân tích tự động và các nhà nghiên cứu.

Giai đoạn Tải Payload và Trang Lừa đảo

Các giai đoạn tiếp theo liên quan đến việc truy xuất payload đã được mã hóa từ các tên miền .ru. Sau đó, framework sẽ hiển thị một trang đăng nhập Microsoft giả mạo. Trang này sử dụng các ID phần tử được tạo động thông qua jQuery, nhằm tăng tính chân thực và khó bị phát hiện.

Cơ chế Chống Phân tích và Rò rỉ Dữ liệu

Salty 2FA cũng tích hợp các cơ chế chống phân tích. Điều này bao gồm việc chặn các phím tắt bàn phím và kiểm tra thời gian gỡ lỗi (debugger timing checks) để phát hiện môi trường sandbox. Các biện pháp này giúp ngăn chặn các nhà nghiên cứu bảo mật và các hệ thống phát hiện xâm nhập phân tích sâu hơn.

Quá trình rò rỉ dữ liệu xảy ra thông qua các yêu cầu POST đến các điểm cuối cụ thể. Ví dụ, các điểm cuối có dạng như:

/<5-6_digits>.php

Tại đây, thông tin đăng nhập bị đánh cắp được mã hóa bằng **Base64** và **XOR**, sau đó được gắn khóa với ID phiên của nạn nhân.

Xử lý Xác thực Đa yếu tố (2FA)

Framework này đặc biệt hiệu quả trong việc xử lý nhiều phương pháp xác thực hai yếu tố (2FA). Bao gồm thông báo đẩy (push notifications), tin nhắn SMS, cuộc gọi thoại và OTPs. Điều này cho phép kẻ tấn công chặn và chuyển tiếp các mã xác minh theo thời gian thực, cấp quyền truy cập liên tục vượt ra ngoài việc chỉ đánh cắp thông tin đăng nhập đơn thuần.

Các phản hồi từ máy chủ dưới định dạng JSON điều khiển quá trình chuyển đổi trạng thái trang, từ lời nhắc email đến xử lý 2FA. Tính năng này giúp tăng cường tính chân thực và khả năng thích ứng của trang lừa đảo.

Ảnh hưởng và Khó khăn trong Phát hiện Phishing-as-a-Service

Các nạn nhân của Salty 2FA trải dài trên nhiều ngành nghề đa dạng, bao gồm tài chính, viễn thông, năng lượng, tư vấn, logistics và giáo dục. Các tổ chức bị nhắm mục tiêu chủ yếu nằm ở Hoa Kỳ, Châu Âu và các khu vực khác.

Các mồi nhử email phổ biến mô phỏng các thông báo hợp pháp như tin nhắn thoại, yêu cầu truy cập tài liệu hoặc sửa đổi bảng lương. Chúng thường được điền sẵn email của nạn nhân thông qua các liên kết URL neo (URL anchors).

Hoạt động của Salty 2FA đã tăng đột biến vào tháng 6 năm 2025 (khả năng cao là 2024), với các dấu hiệu tiền thân có thể có từ tháng 3-4, và tiếp tục tạo ra hàng chục phiên sandbox hàng ngày, cho thấy đây là một mối đe dọa mạng đáng kể.

Các Chỉ số Nhận diện (IOCs) và Thách thức Phát hiện

Việc phát hiện Salty 2FA tỏ ra khó khăn do các chỉ số dễ thay đổi. Các IOC tĩnh như tên miền không đáng tin cậy do mã nguồn liên tục bị biến đổi. Thay vào đó, các mẫu hành vi cung cấp các chữ ký đáng tin cậy hơn. Điều này đặc biệt quan trọng trong việc phát hiện xâm nhập.

Các chỉ số nhận diện dựa trên hành vi (behavioral IOCs) bao gồm:

• Chuỗi tên miền có cấu trúc .??.com kết hợp với các tên miền .ru.
• Các yêu cầu tài nguyên Cloudflare cụ thể.
• Tải tài nguyên nhất quán từ các CDN hợp pháp.

Các công cụ như sandbox tương tác của ANY.RUN tạo điều kiện thuận lợi cho việc phân tích thời gian thực. Chúng cho phép thu thập dữ liệu qua proxy MITM (Man-in-the-Middle) để giải mã lưu lượng và lập bản đồ luồng thực thi, từ đó làm phong phú thêm các IOC và liên kết chúng với các chiến dịch rộng lớn hơn.

Khuyến nghị Bảo mật và Phòng vệ Phishing-as-a-Service

Mặc dù các kỹ thuật né tránh của Salty 2FA, bao gồm việc xoay vòng CAPTCHA và fingerprinting, định vị nó là một đối thủ đáng gờm tương tự các bộ công cụ **Phishing-as-a-Service** lớn, nhưng các yếu tố được mã hóa cứng và việc thiếu khai thác JavaScript nâng cao cho thấy những điểm yếu có thể bị khai thác.

Các đội an ninh mạng được khuyến nghị ưu tiên các phương pháp heuristic dựa trên hành vi hơn là các chữ ký tĩnh để phòng thủ chủ động. Điều này bao gồm việc tận dụng thông tin tình báo về các mối đe dọa (threat intelligence) để giám sát các biến thể mới nổi, nhằm tăng cường an ninh mạng tổng thể.