釣魚即服務（PhaaS）平臺升級反檢測功能

網絡安全公司Sekoia于2023年發現的釣魚工具包Tycoon2FA近期發布重大更新，顯著提升了其反檢測能力。該工具包現采用多項高級規避技術，包括通過HTML5 canvas實現的自定義驗證碼、混淆JavaScript中插入的不可見Unicode字符，以及反調試腳本等。

新型混淆技術干擾靜態分析

Trustwave研究報告指出："近期Tycoon2FA釣魚頁面采用了一種巧妙的混淆技術，利用不可見Unicode字符配合JavaScript Proxy對象，有效增加了靜態分析難度，并將腳本執行延遲至運行時。"研究人員在一個真實案例中展示了該技術，相關分析可通過Urlscan.io會話查看。

來源：Trustwave - Tycoon2FA使用不可見Unicode字符編碼JavaScript代碼。這種混淆技術看似簡單但設計巧妙。

自定義驗證碼系統規避檢測

Tycoon2FA棄用了Cloudflare Turnstile等第三方驗證碼服務，轉而采用基于HTML5 canvas的自定義解決方案。通過隨機文本、噪點和扭曲效果，新系統不僅能規避檢測、減少指紋特征，還能有效阻礙自動化分析工具的運行。

多重反調試機制延長攻擊周期

該釣魚即服務平臺部署了多重反調試腳本，可阻斷開發者工具、檢測自動化程序、禁用右鍵功能并識別暫停執行狀態。當檢測到分析行為時，系統會自動跳轉至rakuten.com網站，既增強了隱蔽性，又延長了釣魚活動的存活周期。

安全防御建議

研究報告總結稱："Tycoon2FA的最新更新明顯轉向隱蔽規避方向。雖然單項技術并無突破，但組合使用會大幅增加檢測和響應難度。"報告同時提供了檢測用的Yara規則，并建議安全團隊采用基于行為的監控、瀏覽器沙箱環境以及對JavaScript模式的深度檢測等方法來應對這些新型攻擊手法。