Tycoon2FA 钓鱼工具包升级新手法，专攻 Microsoft 365 账户

钓鱼即服务平台升级隐匿能力

专门针对Microsoft 365和Gmail账户实施多因素认证（MFA）绕过的钓鱼钓鱼即服务（PhaaS）平台Tycoon2FA近期完成功能升级
，其隐蔽性和规避检测能力显著提升。工具该平台最初由Sekoia研究人员于2023年10月发现 ，包升随后持续迭代增强攻击效能。手法据Trustwave最新报告
，专攻t账攻击者新增多项技术改进以突破终端安全防护。钓鱼

三大核心技术升级

(1) Unicode隐形字符技术

攻击者采用不可见Unicode字符在JavaScript中隐藏二进制数据（Juniper Threat Labs于2月首次披露）。工具该技术使恶意载荷在运行时能正常解码执行 ，包升同时规避人工审查和静态模式匹配分析 。高防服务器手法

使用Unicode隐藏恶意代码片段来源 ：Trustwave

(2) 自托管验证码系统

Tycoon2FA弃用Cloudflare Turnstile服务 ，专攻t账转为通过HTML5 canvas渲染含随机元素的钓鱼自托管CAPTCHA 。此举既规避域名信誉系统的工具指纹识别，又增强对页面内容的包升定制控制。

(3) 反调试JavaScript

新增的手法JavaScript代码可检测PhantomJS、香港云服务器Burp Suite等浏览器自动化工具
，专攻t账并阻断分析相关操作。当检测到可疑行为或验证码失败（可能为安全机器人）时 ，系统会展示诱饵页面或跳转至乐天等合法网站。

工具包新型反调试逻辑来源
：Trustwave

Trustwave强调，虽然这些规避技术单独使用并不新颖 ，但组合应用会大幅增加发现钓鱼基础设施的难度 ，阻碍关停行动。亿华云

SVG钓鱼攻击激增1800%

Trustwave在另一份相关报告中指出 ，Tycoon2FA 、Mamba2FA和Sneaky2FA等PhaaS平台推动下，使用恶意SVG（可缩放矢量图形）文件的钓鱼攻击呈现爆发式增长 。2024年4月至2025年3月间，此类攻击激增1800% ，显示攻击者战术明显转向该文件格式。

钓鱼攻击中使用的源码下载SVG文件附件来源 ：Trustwave

SVG攻击技术解析

恶意SVG文件通常伪装成语音消息、企业Logo或云文档图标，但其内嵌的JavaScript会在浏览器渲染图像时自动触发。攻击者采用base64编码
、ROT13、XOR加密及垃圾代码进行混淆，有效降低检测概率。最终代码会将受害者重定向至伪造的云计算Microsoft 365登录页面窃取凭证。

典型案例显示
，攻击者发送伪装成Microsoft Teams语音邮件警报的SVG附件，点击后将启动外部浏览器执行JavaScript，跳转至伪造Office 365登录页面。

Microsoft Teams钓鱼诱饵来源
：Trustwave

防御建议

面对PhaaS平台和SVG钓鱼的威胁升级，建议采取以下措施：

在邮件网关上拦截或标记SVG附件采用FIDO-2等抗钓鱼多因素认证方案加强发件人真实性验证机制模板下载