官方公众号企业安全新浪微博
FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。
FreeBuf+小程序
钓鱼即服务(PhaaS)平台升级反检测功能
网络安全公司Sekoia于2023年发现的钓鱼工具包Tycoon2FA近期发布重大更新,显著提升了其反检测能力。该工具包现采用多项高级规避技术,包括通过HTML5 canvas实现的自定义验证码、混淆JavaScript中插入的不可见Unicode字符,以及反调试脚本等。
新型混淆技术干扰静态分析
Trustwave研究报告指出:"近期Tycoon2FA钓鱼页面采用了一种巧妙的混淆技术,利用不可见Unicode字符配合JavaScript Proxy对象,有效增加了静态分析难度,并将脚本执行延迟至运行时。"研究人员在一个真实案例中展示了该技术,相关分析可通过Urlscan.io会话查看。
来源:Trustwave - Tycoon2FA使用不可见Unicode字符编码JavaScript代码。这种混淆技术看似简单但设计巧妙。
自定义验证码系统规避检测
Tycoon2FA弃用了Cloudflare Turnstile等第三方验证码服务,转而采用基于HTML5 canvas的自定义解决方案。通过随机文本、噪点和扭曲效果,新系统不仅能规避检测、减少指纹特征,还能有效阻碍自动化分析工具的运行。
多重反调试机制延长攻击周期
该钓鱼即服务平台部署了多重反调试脚本,可阻断开发者工具、检测自动化程序、禁用右键功能并识别暂停执行状态。当检测到分析行为时,系统会自动跳转至rakuten.com网站,既增强了隐蔽性,又延长了钓鱼活动的存活周期。
安全防御建议
研究报告总结称:"Tycoon2FA的最新更新明显转向隐蔽规避方向。虽然单项技术并无突破,但组合使用会大幅增加检测和响应难度。"报告同时提供了检测用的Yara规则,并建议安全团队采用基于行为的监控、浏览器沙箱环境以及对JavaScript模式的深度检测等方法来应对这些新型攻击手法。
参考来源:
本文为 独立观点,未经授权禁止转载。
如需授权、对文章有疑问或需删除稿件,请联系 FreeBuf 客服小蜜蜂(微信:freebee1024)