日前，一个名为Tycoon 2FA的新型网络钓鱼工具包引起了全球各大网络安全社区的广泛关注。根据Sekoia威胁检测研究（TDR）团队最新发布的威胁分析报告显示，该工具包使用了中间对抗（AiTM）技术，能够轻松绕过当前的双因素身份验证(2FA)保护措施，已被广泛用于针对Microsoft 365和Gmail账户的攻击活动。

据了解，该工具包于去年10月首次被Sekoia公司的安全研究人员发现，目前已在超过万次的钓鱼攻击活动中被观察到。同时，从2023年10月至2024年2月期间，安全研究人员累计检测到超过1，100个域名被其恶意控制利用，其中多数和银行、保险等金融机构相关。

当Tycoon 2FA 工具包被用来执行恶意攻击活动时，通常会通过多个阶段运行。首先，受害者会通过电子邮件附件或QR码被引导到一个具有Cloudflare Turnstile挑战的欺诈页面，该挑战旨在过滤不必要的流量；当引导完成后，用户就会进入一个虚假的Microsoft身份验证页面；一旦用户在此页面成功执行了MFA验证，服务器就会捕获会话cookie，使攻击者能够重放用户会话，从而绕开多因素认证机制。

需要注意的是，这个网络钓鱼工具包目前仍然快速的迭代升级中。Sekoia研究人员表示，已经在今年2月发现了一个新版本的Tycoon 2FA，该版本对原有的JavaScript和HTML代码进行了重大更改，进一步增强了网络钓鱼功能，包括重新组织了资源检索，以及扩展了流量过滤等，以阻止bot活动和安全检测尝试。与之前版本相比，最新版Tycoon 2FA 工具包值得注意的改动包括以下方面：

ㆍ新版本工具包简化了不必要的数学运算，将有效攻击负载以可识别的模式命名，包含了假登录页面和Cloudflare Turnstile挑战等元素；

ㆍ新版本将之前版本中单独的JavaScript下载进行了合并，可用于处理2FA实现和数据传输；

ㆍ新版本工具包改进了隐形策略，能够将恶意资源提供延迟到Cloudflare挑战解决之后，并实现了URL随机命名；

ㆍ新版本工具包通过识别和绕过各种流量模式（包括来自网络中心、Tor和特定bot用户代理的流量模式）来规避现有安全机制的检测分析。

Sekoia研究人员还警告称，已经初步发现了Tycoon 2FA工具包和其他流行的网络钓鱼平台之间存在潜在的联系，这意味着未来可能出现共享网络钓鱼基础设施甚至共享代码库的情况。因此，研究人员预测，Tycoon 2FA 工具包可能会成为2024年AiTM网络钓鱼市场中最严重的威胁之一。

参考链接：

https://www.infosecurity-magazine.com/news/new-tycoon-2fa-phishing-kit/