Tycoon2FA钓鱼工具包发布重大更新

网络安全公司Sekoia于2023年发现的Tycoon2FA钓鱼工具包近期完成升级，其反检测能力显著增强。该工具包现采用HTML5画布定制验证码、混淆JavaScript中的隐形Unicode字符及反调试脚本等高级规避技术，以绕过检测并干扰分析。

Trustwave研究报告显示："近期Tycoon2FA钓鱼页面采用了一种结合隐形Unicode字符的智能混淆技术。该技术与JavaScript代理对象配合使用，可有效增加静态分析难度，并将脚本执行延迟至运行时阶段。"（具体案例可参阅Urlscan.io分析报告：https://urlscan.io/result/0195c73f-bfd0-7000-8386-94b11ace6088/dom/）

Tycoon2FA钓鱼即服务平台

来源：Trustwave - 该平台使用隐形Unicode字符编码JavaScript代码，其混淆技术虽原理简单但设计巧妙。

该平台弃用Cloudflare Turnstile等第三方验证码，改用基于HTML5画布的定制解决方案。通过随机文本、噪点和扭曲效果等设计，既能规避检测、减少指纹特征，又可阻碍自动化分析。作为钓鱼即服务（PhaaS）平台，其配备的反调试脚本可阻断开发者工具、检测自动化行为、禁用右键功能并识别暂停执行操作。一旦察觉分析行为，立即跳转至rakuten.com以增强隐蔽性，延长钓鱼活动存活周期。

报告总结指出："Tycoon2FA工具包的最新升级明显转向隐蔽规避策略。虽然单项技术并无突破，但组合运用能显著增加检测响应难度。"（报告包含Yara检测规则）"安全团队应考虑采用基于行为的监控、浏览器沙箱环境及深度JavaScript模式检测等措施，以有效应对这些新型攻击手法。"

原文始发于微信公众号（黑猫安全）：Tycoon2FA钓鱼工具包发布重大更新