网络安全研究人员发现，随着 Tycoon 2FA 网络钓鱼工具包采用了旨在绕过现代终端保护系统复杂的规避技术，网络钓鱼策略发生了重大演变。

据观察，这款先进的工具包部署了多层混淆和反分析方法，这在网络钓鱼威胁领域中是一个令人担忧的新发展。

Tycoon 2FA 工具包的运作方式是创建逼真的合法登录页面副本，不仅能获取初始凭据，还能获取双因素身份验证令牌。

该工具包与早期版本的不同之处在于，它采用了多层防御机制，这使得安全工具和研究人员对其进行检测和分析的难度大幅增加。

2025 年 4 月初，Trustwave 的研究人员识别出了这款更新后的工具包，并指出了几项技术创新，这些创新表明网络钓鱼活动正变得越来越复杂。

记录这一发现的 Trustwave SpiderLabs 团队表示：“这些规避技术清楚地表明，威胁行为者在设计工具时迈出了进化的一步，目的是让工具在更长时间内不被发现。”

这些创新的影响不仅仅局限于直接受害者，因为持续时间更长的网络钓鱼活动在被发现之前可能会攻陷更多账户。

金融机构、企业组织和云服务提供商是主要目标，这款工具包专门设计用于获取对时间敏感的身份验证码。

从核心来看，Tycoon 2FA 采用了三种主要的规避技术：通过 HTML5 画布实现自定义验证码（CAPTCHA）、使用不可见的 Unicode 字符对 JavaScript 进行混淆处理，以及采取激进的反调试措施来阻止安全分析。

深入探究不可见的 Unicode 字符混淆技术

该工具包规避策略中最具创新性的方面在于，它使用不可见的 Unicode 字符对恶意 JavaScript 代码进行编码。

这种技术将特定的不可见字符 —— 代表二进制 0 的半角韩文字符填充符（UTF-16：0xFFA0）和代表二进制 1 的韩文字符填充符（UTF-16：0x3164）与 JavaScript 代理对象相结合，将代码执行推迟到运行时。

解码机制的工作原理是将这些不可见字符转换为二进制字符串，将其分割成 8 位的片段，然后将每个片段转换为相应的字符：

class ObfuscatedDecoder {

static decode(obfuscatedString) {

const binaryString = Array.from(obfuscatedString)

.map(char => +(‘)}>>’ char))

.join(”);

return binaryString.match(/.{8}/g)

.map(byte => String.fromCharCode(parseInt(byte, 2)))

.join(”);

}

}

这种方法使得有效载荷在人工检查时完全不可见，同时也能避开模式匹配检测方法。

当与该工具包的其他保护机制（包括自定义验证码验证和检测分析工具的反调试脚本）相结合时，这就对传统的安全措施构成了一道难以逾越的障碍。

建议安全团队实施基于行为的监控，增强浏览器沙盒功能，并部署更深入的 JavaScript 检查机制，以应对这些不断演变的威胁。

Trustwave 已经发布了一条 YARA 检测规则，专门针对与最新 Tycoon 2FA 变种相关的 Unicode 字符混淆模式。