釣魚即服務平臺升級隱匿能力

專門針對Microsoft 365和Gmail賬戶實施多因素認證（MFA）繞過的釣魚即服務（PhaaS）平臺Tycoon2FA近期完成功能升級，其隱蔽性和規(guī)避檢測能力顯著提升。該平臺最初由Sekoia研究人員于2023年10月發(fā)現(xiàn)，隨后持續(xù)迭代增強攻擊效能。據(jù)Trustwave最新報告，攻擊者新增多項技術改進以突破終端安全防護。

三大核心技術升級

(1) Unicode隱形字符技術

攻擊者采用不可見Unicode字符在JavaScript中隱藏二進制數(shù)據(jù)（Juniper Threat Labs于2月首次披露）。該技術使惡意載荷在運行時能正常解碼執(zhí)行，同時規(guī)避人工審查和靜態(tài)模式匹配分析。

使用Unicode隱藏惡意代碼片段來源：Trustwave

(2) 自托管驗證碼系統(tǒng)

Tycoon2FA棄用Cloudflare Turnstile服務，轉為通過HTML5 canvas渲染含隨機元素的自托管CAPTCHA。此舉既規(guī)避域名信譽系統(tǒng)的指紋識別，又增強對頁面內(nèi)容的定制控制。

(3) 反調(diào)試JavaScript

新增的JavaScript代碼可檢測PhantomJS、Burp Suite等瀏覽器自動化工具，并阻斷分析相關操作。當檢測到可疑行為或驗證碼失敗（可能為安全機器人）時，系統(tǒng)會展示誘餌頁面或跳轉至樂天等合法網(wǎng)站。

工具包新型反調(diào)試邏輯來源：Trustwave

Trustwave強調(diào)，雖然這些規(guī)避技術單獨使用并不新穎，但組合應用會大幅增加發(fā)現(xiàn)釣魚基礎設施的難度，阻礙關停行動。

SVG釣魚攻擊激增1800%

Trustwave在另一份相關報告中指出，Tycoon2FA、Mamba2FA和Sneaky2FA等PhaaS平臺推動下，使用惡意SVG（可縮放矢量圖形）文件的釣魚攻擊呈現(xiàn)爆發(fā)式增長。2024年4月至2025年3月間，此類攻擊激增1800%，顯示攻擊者戰(zhàn)術明顯轉向該文件格式。

釣魚攻擊中使用的SVG文件附件來源：Trustwave

SVG攻擊技術解析

惡意SVG文件通常偽裝成語音消息、企業(yè)Logo或云文檔圖標，但其內(nèi)嵌的JavaScript會在瀏覽器渲染圖像時自動觸發(fā)。攻擊者采用base64編碼、ROT13、XOR加密及垃圾代碼進行混淆，有效降低檢測概率。最終代碼會將受害者重定向至偽造的Microsoft 365登錄頁面竊取憑證。

典型案例顯示，攻擊者發(fā)送偽裝成Microsoft Teams語音郵件警報的SVG附件，點擊后將啟動外部瀏覽器執(zhí)行JavaScript，跳轉至偽造Office 365登錄頁面。

Microsoft Teams釣魚誘餌來源：Trustwave

防御建議

面對PhaaS平臺和SVG釣魚的威脅升級，建議采取以下措施：

• 在郵件網(wǎng)關上攔截或標記SVG附件
• 采用FIDO-2等抗釣魚多因素認證方案
• 加強發(fā)件人真實性驗證機制