釣魚即服務(wù)（PhaaS）平臺升級反檢測功能

網(wǎng)絡(luò)安全公司Sekoia于2023年發(fā)現(xiàn)的釣魚工具包Tycoon2FA近期發(fā)布重大更新，顯著提升了其反檢測能力。該工具包現(xiàn)采用多項高級規(guī)避技術(shù)，包括通過HTML5 canvas實現(xiàn)的自定義驗證碼、混淆JavaScript中插入的不可見Unicode字符，以及反調(diào)試腳本等。

新型混淆技術(shù)干擾靜態(tài)分析

Trustwave研究報告指出："近期Tycoon2FA釣魚頁面采用了一種巧妙的混淆技術(shù)，利用不可見Unicode字符配合JavaScript Proxy對象，有效增加了靜態(tài)分析難度，并將腳本執(zhí)行延遲至運行時。"研究人員在一個真實案例中展示了該技術(shù)，相關(guān)分析可通過Urlscan.io會話查看。

來源：Trustwave - Tycoon2FA使用不可見Unicode字符編碼JavaScript代碼。這種混淆技術(shù)看似簡單但設(shè)計巧妙。

自定義驗證碼系統(tǒng)規(guī)避檢測

Tycoon2FA棄用了Cloudflare Turnstile等第三方驗證碼服務(wù)，轉(zhuǎn)而采用基于HTML5 canvas的自定義解決方案。通過隨機文本、噪點和扭曲效果，新系統(tǒng)不僅能規(guī)避檢測、減少指紋特征，還能有效阻礙自動化分析工具的運行。

多重反調(diào)試機制延長攻擊周期

該釣魚即服務(wù)平臺部署了多重反調(diào)試腳本，可阻斷開發(fā)者工具、檢測自動化程序、禁用右鍵功能并識別暫停執(zhí)行狀態(tài)。當(dāng)檢測到分析行為時，系統(tǒng)會自動跳轉(zhuǎn)至rakuten.com網(wǎng)站，既增強了隱蔽性，又延長了釣魚活動的存活周期。

安全防御建議

研究報告總結(jié)稱："Tycoon2FA的最新更新明顯轉(zhuǎn)向隱蔽規(guī)避方向。雖然單項技術(shù)并無突破，但組合使用會大幅增加檢測和響應(yīng)難度。"報告同時提供了檢測用的Yara規(guī)則，并建議安全團隊采用基于行為的監(jiān)控、瀏覽器沙箱環(huán)境以及對JavaScript模式的深度檢測等方法來應(yīng)對這些新型攻擊手法。