釣魚即服務(wù)平臺升級隱匿能力

專門針對Microsoft 365和Gmail賬戶實施多因素認(rèn)證（MFA）繞過的釣魚即服務(wù)（PhaaS）平臺Tycoon2FA近期完成功能升級，其隱蔽性和規(guī)避檢測能力顯著提升。該平臺最初由Sekoia研究人員于2023年10月發(fā)現(xiàn)，隨后持續(xù)迭代增強(qiáng)攻擊效能。據(jù)Trustwave最新報告，攻擊者新增多項技術(shù)改進(jìn)以突破終端安全防護(hù)。

三大核心技術(shù)升級

(1) Unicode隱形字符技術(shù)

攻擊者采用不可見Unicode字符在JavaScript中隱藏二進(jìn)制數(shù)據(jù)（Juniper Threat Labs于2月首次披露）。該技術(shù)使惡意載荷在運行時能正常解碼執(zhí)行，同時規(guī)避人工審查和靜態(tài)模式匹配分析。

使用Unicode隱藏惡意代碼片段來源：Trustwave

(2) 自托管驗證碼系統(tǒng)

Tycoon2FA棄用Cloudflare Turnstile服務(wù)，轉(zhuǎn)為通過HTML5 canvas渲染含隨機(jī)元素的自托管CAPTCHA。此舉既規(guī)避域名信譽(yù)系統(tǒng)的指紋識別，又增強(qiáng)對頁面內(nèi)容的定制控制。

(3) 反調(diào)試JavaScript

新增的JavaScript代碼可檢測PhantomJS、Burp Suite等瀏覽器自動化工具，并阻斷分析相關(guān)操作。當(dāng)檢測到可疑行為或驗證碼失敗（可能為安全機(jī)器人）時，系統(tǒng)會展示誘餌頁面或跳轉(zhuǎn)至樂天等合法網(wǎng)站。

工具包新型反調(diào)試邏輯來源：Trustwave

Trustwave強(qiáng)調(diào)，雖然這些規(guī)避技術(shù)單獨使用并不新穎，但組合應(yīng)用會大幅增加發(fā)現(xiàn)釣魚基礎(chǔ)設(shè)施的難度，阻礙關(guān)停行動。

SVG釣魚攻擊激增1800%

Trustwave在另一份相關(guān)報告中指出，Tycoon2FA、Mamba2FA和Sneaky2FA等PhaaS平臺推動下，使用惡意SVG（可縮放矢量圖形）文件的釣魚攻擊呈現(xiàn)爆發(fā)式增長。2024年4月至2025年3月間，此類攻擊激增1800%，顯示攻擊者戰(zhàn)術(shù)明顯轉(zhuǎn)向該文件格式。

釣魚攻擊中使用的SVG文件附件來源：Trustwave

SVG攻擊技術(shù)解析

惡意SVG文件通常偽裝成語音消息、企業(yè)Logo或云文檔圖標(biāo)，但其內(nèi)嵌的JavaScript會在瀏覽器渲染圖像時自動觸發(fā)。攻擊者采用base64編碼、ROT13、XOR加密及垃圾代碼進(jìn)行混淆，有效降低檢測概率。最終代碼會將受害者重定向至偽造的Microsoft 365登錄頁面竊取憑證。

典型案例顯示，攻擊者發(fā)送偽裝成Microsoft Teams語音郵件警報的SVG附件，點擊后將啟動外部瀏覽器執(zhí)行JavaScript，跳轉(zhuǎn)至偽造Office 365登錄頁面。

Microsoft Teams釣魚誘餌來源：Trustwave

防御建議

面對PhaaS平臺和SVG釣魚的威脅升級，建議采取以下措施：

• 在郵件網(wǎng)關(guān)上攔截或標(biāo)記SVG附件
• 采用FIDO-2等抗釣魚多因素認(rèn)證方案
• 加強(qiáng)發(fā)件人真實性驗證機(jī)制