釣魚即服務(wù)平臺(tái)升級(jí)隱匿能力

專門針對(duì)Microsoft 365和Gmail賬戶實(shí)施多因素認(rèn)證（MFA）繞過(guò)的釣魚即服務(wù)（PhaaS）平臺(tái)Tycoon2FA近期完成功能升級(jí)，其隱蔽性和規(guī)避檢測(cè)能力顯著提升。該平臺(tái)最初由Sekoia研究人員于2023年10月發(fā)現(xiàn)，隨后持續(xù)迭代增強(qiáng)攻擊效能。據(jù)Trustwave最新報(bào)告，攻擊者新增多項(xiàng)技術(shù)改進(jìn)以突破終端安全防護(hù)。

三大核心技術(shù)升級(jí)

(1) Unicode隱形字符技術(shù)

攻擊者采用不可見Unicode字符在JavaScript中隱藏二進(jìn)制數(shù)據(jù)（Juniper Threat Labs于2月首次披露）。該技術(shù)使惡意載荷在運(yùn)行時(shí)能正常解碼執(zhí)行，同時(shí)規(guī)避人工審查和靜態(tài)模式匹配分析。

使用Unicode隱藏惡意代碼片段來(lái)源：Trustwave

(2) 自托管驗(yàn)證碼系統(tǒng)

Tycoon2FA棄用Cloudflare Turnstile服務(wù)，轉(zhuǎn)為通過(guò)HTML5 canvas渲染含隨機(jī)元素的自托管CAPTCHA。此舉既規(guī)避域名信譽(yù)系統(tǒng)的指紋識(shí)別，又增強(qiáng)對(duì)頁(yè)面內(nèi)容的定制控制。

(3) 反調(diào)試JavaScript

新增的JavaScript代碼可檢測(cè)PhantomJS、Burp Suite等瀏覽器自動(dòng)化工具，并阻斷分析相關(guān)操作。當(dāng)檢測(cè)到可疑行為或驗(yàn)證碼失?。赡転榘踩珯C(jī)器人）時(shí)，系統(tǒng)會(huì)展示誘餌頁(yè)面或跳轉(zhuǎn)至樂(lè)天等合法網(wǎng)站。

工具包新型反調(diào)試邏輯來(lái)源：Trustwave

Trustwave強(qiáng)調(diào)，雖然這些規(guī)避技術(shù)單獨(dú)使用并不新穎，但組合應(yīng)用會(huì)大幅增加發(fā)現(xiàn)釣魚基礎(chǔ)設(shè)施的難度，阻礙關(guān)停行動(dòng)。

SVG釣魚攻擊激增1800%

Trustwave在另一份相關(guān)報(bào)告中指出，Tycoon2FA、Mamba2FA和Sneaky2FA等PhaaS平臺(tái)推動(dòng)下，使用惡意SVG（可縮放矢量圖形）文件的釣魚攻擊呈現(xiàn)爆發(fā)式增長(zhǎng)。2024年4月至2025年3月間，此類攻擊激增1800%，顯示攻擊者戰(zhàn)術(shù)明顯轉(zhuǎn)向該文件格式。

釣魚攻擊中使用的SVG文件附件來(lái)源：Trustwave

SVG攻擊技術(shù)解析

惡意SVG文件通常偽裝成語(yǔ)音消息、企業(yè)Logo或云文檔圖標(biāo)，但其內(nèi)嵌的JavaScript會(huì)在瀏覽器渲染圖像時(shí)自動(dòng)觸發(fā)。攻擊者采用base64編碼、ROT13、XOR加密及垃圾代碼進(jìn)行混淆，有效降低檢測(cè)概率。最終代碼會(huì)將受害者重定向至偽造的Microsoft 365登錄頁(yè)面竊取憑證。

典型案例顯示，攻擊者發(fā)送偽裝成Microsoft Teams語(yǔ)音郵件警報(bào)的SVG附件，點(diǎn)擊后將啟動(dòng)外部瀏覽器執(zhí)行JavaScript，跳轉(zhuǎn)至偽造Office 365登錄頁(yè)面。

Microsoft Teams釣魚誘餌來(lái)源：Trustwave

防御建議

面對(duì)PhaaS平臺(tái)和SVG釣魚的威脅升級(jí)，建議采取以下措施：

• 在郵件網(wǎng)關(guān)上攔截或標(biāo)記SVG附件
• 采用FIDO-2等抗釣魚多因素認(rèn)證方案
• 加強(qiáng)發(fā)件人真實(shí)性驗(yàn)證機(jī)制