釣魚即服務(wù)（PhaaS）平臺(tái)升級(jí)反檢測功能

網(wǎng)絡(luò)安全公司Sekoia于2023年發(fā)現(xiàn)的釣魚工具包Tycoon2FA近期發(fā)布重大更新，顯著提升了其反檢測能力。該工具包現(xiàn)采用多項(xiàng)高級(jí)規(guī)避技術(shù)，包括通過HTML5 canvas實(shí)現(xiàn)的自定義驗(yàn)證碼、混淆JavaScript中插入的不可見Unicode字符，以及反調(diào)試腳本等。

新型混淆技術(shù)干擾靜態(tài)分析

Trustwave研究報(bào)告指出："近期Tycoon2FA釣魚頁面采用了一種巧妙的混淆技術(shù)，利用不可見Unicode字符配合JavaScript Proxy對象，有效增加了靜態(tài)分析難度，并將腳本執(zhí)行延遲至運(yùn)行時(shí)。"研究人員在一個(gè)真實(shí)案例中展示了該技術(shù)，相關(guān)分析可通過Urlscan.io會(huì)話查看。

來源：Trustwave - Tycoon2FA使用不可見Unicode字符編碼JavaScript代碼。這種混淆技術(shù)看似簡單但設(shè)計(jì)巧妙。

自定義驗(yàn)證碼系統(tǒng)規(guī)避檢測

Tycoon2FA棄用了Cloudflare Turnstile等第三方驗(yàn)證碼服務(wù)，轉(zhuǎn)而采用基于HTML5 canvas的自定義解決方案。通過隨機(jī)文本、噪點(diǎn)和扭曲效果，新系統(tǒng)不僅能規(guī)避檢測、減少指紋特征，還能有效阻礙自動(dòng)化分析工具的運(yùn)行。

多重反調(diào)試機(jī)制延長攻擊周期

該釣魚即服務(wù)平臺(tái)部署了多重反調(diào)試腳本，可阻斷開發(fā)者工具、檢測自動(dòng)化程序、禁用右鍵功能并識(shí)別暫停執(zhí)行狀態(tài)。當(dāng)檢測到分析行為時(shí)，系統(tǒng)會(huì)自動(dòng)跳轉(zhuǎn)至rakuten.com網(wǎng)站，既增強(qiáng)了隱蔽性，又延長了釣魚活動(dòng)的存活周期。

安全防御建議

研究報(bào)告總結(jié)稱："Tycoon2FA的最新更新明顯轉(zhuǎn)向隱蔽規(guī)避方向。雖然單項(xiàng)技術(shù)并無突破，但組合使用會(huì)大幅增加檢測和響應(yīng)難度。"報(bào)告同時(shí)提供了檢測用的Yara規(guī)則，并建議安全團(tuán)隊(duì)采用基于行為的監(jiān)控、瀏覽器沙箱環(huán)境以及對JavaScript模式的深度檢測等方法來應(yīng)對這些新型攻擊手法。