釣魚即服務平臺升級隱匿能力

專門針對Microsoft 365和Gmail賬戶實施多因素認證（MFA）繞過的釣魚即服務（PhaaS）平臺Tycoon2FA近期完成功能升級，其隱蔽性和規避檢測能力顯著提升。該平臺最初由Sekoia研究人員于2023年10月發現，隨后持續迭代增強攻擊效能。據Trustwave最新報告，攻擊者新增多項技術改進以突破終端安全防護。

三大核心技術升級

(1) Unicode隱形字符技術

攻擊者采用不可見Unicode字符在JavaScript中隱藏二進制數據（Juniper Threat Labs于2月首次披露）。該技術使惡意載荷在運行時能正常解碼執行，同時規避人工審查和靜態模式匹配分析。

使用Unicode隱藏惡意代碼片段來源：Trustwave

(2) 自托管驗證碼系統

Tycoon2FA棄用Cloudflare Turnstile服務，轉為通過HTML5 canvas渲染含隨機元素的自托管CAPTCHA。此舉既規避域名信譽系統的指紋識別，又增強對頁面內容的定制控制。

(3) 反調試JavaScript

新增的JavaScript代碼可檢測PhantomJS、Burp Suite等瀏覽器自動化工具，并阻斷分析相關操作。當檢測到可疑行為或驗證碼失敗（可能為安全機器人）時，系統會展示誘餌頁面或跳轉至樂天等合法網站。

工具包新型反調試邏輯來源：Trustwave

Trustwave強調，雖然這些規避技術單獨使用并不新穎，但組合應用會大幅增加發現釣魚基礎設施的難度，阻礙關停行動。

SVG釣魚攻擊激增1800%

Trustwave在另一份相關報告中指出，Tycoon2FA、Mamba2FA和Sneaky2FA等PhaaS平臺推動下，使用惡意SVG（可縮放矢量圖形）文件的釣魚攻擊呈現爆發式增長。2024年4月至2025年3月間，此類攻擊激增1800%，顯示攻擊者戰術明顯轉向該文件格式。

釣魚攻擊中使用的SVG文件附件來源：Trustwave

SVG攻擊技術解析

惡意SVG文件通常偽裝成語音消息、企業Logo或云文檔圖標，但其內嵌的JavaScript會在瀏覽器渲染圖像時自動觸發。攻擊者采用base64編碼、ROT13、XOR加密及垃圾代碼進行混淆，有效降低檢測概率。最終代碼會將受害者重定向至偽造的Microsoft 365登錄頁面竊取憑證。

典型案例顯示，攻擊者發送偽裝成Microsoft Teams語音郵件警報的SVG附件，點擊后將啟動外部瀏覽器執行JavaScript，跳轉至偽造Office 365登錄頁面。

Microsoft Teams釣魚誘餌來源：Trustwave

防御建議

面對PhaaS平臺和SVG釣魚的威脅升級，建議采取以下措施：

• 在郵件網關上攔截或標記SVG附件
• 采用FIDO-2等抗釣魚多因素認證方案
• 加強發件人真實性驗證機制