据报道,Tycoon2FA是一个专门绕过Microsoft 365和Gmail账户多重身份验证的钓鱼即服务(PhaaS)平台。研究人员发现,该平台最近进行了更新,提升了其隐蔽性和绕过安全措施的能力。来源。
Trustwave报告指出,Tycoon2FA的攻击者增加了多项改进,以增强工具的检测和终端安全防护绕过能力。首先,他们使用不可见的Unicode字符将二进制数据隐藏在JavaScript中,使得这些数据在运行时可以被正常解码和执行,而不容易被人工和静态模式匹配分析发现。其次,他们改用自托管的HTML5画布渲染的CAPTCHA,并随机化元素,以避免指纹识别和域名信誉系统的标记,并获得页面内容的更大定制控制。
此外,Tycoon2FA还加入了反调试JavaScript,可以检测浏览器自动化工具如PhantomJS和Burp Suite,并阻止与分析相关的某些操作。当检测到可疑活动或CAPTCHA失败时(可能表明是安全机器人),用户会被重定向到一个虚假的页面或合法网站如rakuten.com。
Trustwave强调,虽然这些规避技术各自并不新颖,但结合使用时却大大增加了检测和分析难度,从而延缓了钓鱼基础设施的揭露及其被关闭和干扰的时间。