行业新闻与博客

Barracuda 的威胁研究人员对网络钓鱼工具包 Tycoon 2FA 的新版本进行了分析，该工具包使用高级策略来绕过多因素身份验证 (MFA) 并逃避检测。

Tycoon 2FA 于 2023 年 8 月首次出现，并经过多次更新以增强其功能。最新版本于 2024 年 11 月发布，针对 Microsoft 365 会话 cookie 以绕过 2FA 保护。此后，网络钓鱼工具包的创建者采用了多种措施来防止被自动化工具和安全分析师检测到。

新的 Tycoon 2FA 的主要功能包括使用合法的、通常被入侵的电子邮件帐户发送网络钓鱼消息。它使用阻塞源代码来阻止网页分析，并包括检测和阻止自动安全脚本（如渗透测试工具）的措施。

此外，它还会监听常用于网页检查的按键，阻止相关操作。该钓鱼工具包会禁用右键菜单，以阻止进一步检查钓鱼页面，并使用混淆技术隐藏其网页代码的恶意意图。

这些策略使得安全解决方案很难有效地识别和分析网络钓鱼页面。

例如，如果检测到开发人员工具，该软件会将用户重定向到合法网站（例如 OneDrive），以掩盖其真实目的。此外，Tycoon 2FA 还可以通过覆盖剪贴板内容来防止用户从钓鱼页面复制文本。

Tycoon 2FA 对凭证攻击的影响

Barracuda 分析师估计，2024 年 30% 的凭证攻击涉及网络钓鱼即服务 (PhaaS)，预计到 2025 年这一数字将上升到 50%。 

“到 2025 年，网络钓鱼不再是一种基本威胁，而是一种复杂而精密的攻击媒介，而且资源越来越丰富。PhaaS 集团在推动这一演变过程中发挥着关键作用，”该公司表示。

随着网络钓鱼攻击变得越来越复杂，公司必须优先考虑多层防御策略，并投资于不断发展的安全工具，以领先于这些威胁。强大的安全文化和持续的警惕对于减轻高级网络钓鱼活动带来的风险至关重要。

Barracuda 总结道：“要应对这种不断演变的威胁，必须制定灵活、创新、多层次的防御策略，并培养强大的安全文化。寻找能够随着新出现的威胁不断发展的安全工具，改进模式匹配规则，监控 IoC 并微调安全解决方案。”