Ett relativt sällsynt men tekniskt avancerat nätfiskepaket, kallat Saiga 2FA, har återigen identifierats i nya attacker.
En ny analys visar hur verktyget kan kringgå multifaktorautentisering genom dynamiska och svårupptäckta metoder – och varför organisationer behöver stärka skyddet mot moderna nätfiskeangrepp.
Barracuda Research har upptäckt nya vågor av attacker kopplade till Saiga 2FA. Det rör sig om ett så kallat adversary‑in‑the‑middle‑verktyg (AitM) som används för att kringgå multifaktorautentisering (MFA) och stjäla sessionscookies från företagsanvändares e‑post. Kampanjerna genomförs i begränsad omfattning, men är samtidigt utformade för att vara svåra att upptäcka och analysera.
– Saiga tillhör en kategori avancerade nätfiskepaket som fungerar mer som en skräddarsydd tjänst än som en helt automatiserad plattform. De erbjuder en uppsättning inställningar som kan justeras i realtid under ett pågående angrepp, säger Saravanan Mohankumar på Barracudas team för hotanalys.
Flera steg för att lura användaren
Angreppen följer i stora drag samma mönster som andra nätfiskekampanjer. Offren lockas via mejl som utger sig för att komma från välkända varumärken och som innehåller länkar eller QR‑koder. Därefter leds användaren genom flera steg innan den slutliga falska inloggningssidan visas.
För att försvåra upptäckt använder Saiga 2FA flera lager av tekniska metoder. Ett exempel är att verktyget kan känna av när webbläsarens utvecklarverktyg öppnas, vilket ofta sker vid säkerhetsanalys. Då omdirigeras användaren omedelbart till en ofarlig sida, exempelvis en Google‑sökning.
Angriparverktyg på applikationsnivå
Till skillnad från enklare phishing‑as‑a‑service‑lösningar levererar Saiga 2FA sina nätfiskesidor som en fullvärdig webbapplikation. Innehållet genereras dynamiskt med hjälp av JavaScript, vilket gör det betydligt svårare för vanliga säkerhetsskannrar att upptäcka något misstänkt genom att enbart granska sidans källkod.
Varje angrepp styrs dessutom av en inbyggd konfigurationsfil i webbapplikationen som avgör hur den aktuella phishing‑sessionen ska fungera, exempelvis genom att byta tema eller anpassa flödet efter behov.
Text på latin för att undvika identifiering
Webbsidorna som används av Saiga innehåller latinsk ”lorem ipsum”-text i metadatafälten. Texten saknar meningsfullt innehåll och ger inga ledtrådar om sidans syfte. Det bidrar till att undvika att trigga skyddssystem som bygger på nyckelord, språkanalys eller igenkänning av varumärkesnamn.
Verktyget innehåller även en integrerad funktion för att söka igenom och analysera innehåll i kapade inkorgar. Informationen kan därefter återanvändas i nya attacker. För att hantera kampanjerna finns ett webbaserat kontrollgränssnitt som möjliggör domänhantering, loggning, automatisering samt avancerad trafikfiltrering och villkorsstyrd laddning av innehåll. Denna grad av central kontroll skiljer Saiga från enklare nätfiskeverktyg som ofta förlitar sig på exempelvis Telegram‑baserad loggning.
– För att skydda sig mot den här typen av angrepp bör organisationer införa autentiseringsmetoder som är motståndskraftiga mot nätfiske, till exempel FIDO2 eller WebAuthn. Det är också viktigt att tillämpa strikt verifiering av webbadresser, övervaka avvikande inloggningsbeteenden och arbeta med ett säkerhetsskydd i flera lager, avslutar Saravanan Mohankumar.
