网络安全研究人员发现，恶意行为者通过伪造发件人电子邮件地址、滥用老旧域名等手段，在各种恶意垃圾邮件活动中屡屡得逞。他们利用域名密钥识别邮件（DKIM）等安全措施的漏洞，采用老旧顶级域名绕过安全检查，并伪造随机域名，以逃避检测。此外，还出现了针对知名品牌的钓鱼活动，以及利用受信任平台和短信进行攻击。这些攻击手段层出不穷，包括冒充政府官员、发送虚假付款请求等，给用户带来了极大的安全风险。同时，低价且缺乏注册要求的通用顶级域名也成为恶意行为者的首选，他们还利用恶意WordPress插件窃取用户支付信息。

📧 伪造发件人地址：恶意行为者通过伪造电子邮件发件人地址，使其看起来更合法，从而绕过安全机制。他们利用老旧、被忽视的域名，因为这些域名缺少SPF记录等，更容易绕过安全检查。

📱 多渠道攻击方式：攻击者不仅通过电子邮件进行钓鱼，还利用短信、受信任平台（如Canva、Dropbox DocSend）以及被入侵的WordPress网站进行攻击，并通过Cloudflare Turnstile验证来躲避检测。

💰 针对性攻击与社会工程：攻击者会冒充知名品牌或政府官员，通过电话和远程访问软件窃取用户个人信息和银行卡信息，还利用受害者的合作意愿进行退款诈骗。同时，还出现针对特定人群的攻击，如针对女性消费者的暗网数据泄露攻击。

🌐 域名滥用与恶意插件：低价的通用顶级域名成为恶意行为者的首选，他们还利用恶意WordPress插件（如PhishWP）创建虚假支付页面，窃取用户支付信息，并直接发送给攻击者。

HackerNews 编译，转载请注明出处：

网络安全研究人员发现，恶意行为者在各种恶意垃圾邮件活动中继续通过伪造发件人电子邮件地址取得成功。

伪造电子邮件的发件人地址通常被视为一种让数字信息看起来更合法并绕过可能将其标记为恶意的安全机制的手段。

尽管有域名密钥识别邮件（DKIM）、基于域名的邮件身份验证、报告和一致性（DMARC）以及发件人策略框架（SPF）等保障措施可以防止垃圾邮件发送者伪造知名域名，但这些措施反而促使他们利用老旧、被忽视的域名进行活动。

这样做的话，电子邮件信息很可能会绕过依赖域名年龄来识别垃圾邮件的安全检查。

一家DNS威胁情报公司在与《黑客新闻》分享的一项新分析中发现，包括Muddling Meerkat在内的威胁行为者滥用了一些自身拥有的、已近20年未用于托管内容的老旧顶级域名（TLD）。

“这些域名缺少大多数DNS记录，包括通常用于检查发件人域名真实性的记录，如SPF记录，”该公司表示，“这些域名简短且属于高声誉的顶级域名。”自2022年12月以来一直活跃的一项此类活动涉及分发带有指向钓鱼网站的二维码附件的电子邮件，并指示收件人打开附件并使用手机上的支付宝或微信应用扫描二维码。

这些电子邮件使用中文撰写的与税收相关的诱饵，同时以不同方式将二维码文档隐藏在电子邮件正文中包含的四位数字密码之后。在其中一个案例中，钓鱼网站要求用户输入其身份和银行卡信息，然后向攻击者进行欺诈付款。

“尽管这些活动确实使用了我们在Muddling Meerkat中看到的废弃域名，但它们似乎还广泛伪造随机域名，甚至包括不存在的域名，”Infoblox解释道，“行为者可能会使用这种技术来避免发送来自同一发件人的重复电子邮件。”

该公司表示，它还观察到了冒充亚马逊、万事达卡和SMBC等知名品牌，利用流量分发系统（TDSes）将受害者重定向到假冒登录页面以窃取其凭据的钓鱼活动。以下是一些已确定使用伪造发件人域名的电子邮件地址：

mailto:ak@fdd.xpv[.]org
mailto:mh@thq.cyxfyxrv[.]com
mailto:mfhez@shp.bzmb[.]com
mailto:gcini@vjw.mosf[.]com
mailto:iipnf@gvy.zxdvrdbtb[.]com
mailto:zmrbcj@bce.xnity[.]net
mailto:nxohlq@vzy.dpyj[.]com

第三类垃圾邮件与勒索有关，其中电子邮件收件人被要求支付1800美元的比特币以删除据称安装在其系统上的远程访问木马所录制的令人尴尬的视频。

“行为者伪造用户自己的电子邮件地址，并挑战他们进行检查，”Infoblox表示，电子邮件告诉用户他们的设备已被入侵，作为证明，行为者声称该邮件是从用户自己的帐户发送的。”

这一披露正值法律、政府和建筑部门自2024年9月初以来成为旨在窃取Microsoft 365凭据的新型钓鱼活动“肉铺”的目标。

据Obsidian Security称，这些攻击滥用Canva、Dropbox DocSend和Google Accelerated Mobile Pages（AMP）等受信任平台将用户重定向到恶意网站。其他一些渠道包括电子邮件和被入侵的WordPress网站。

“在显示钓鱼页面之前，会显示一个带有Cloudflare Turnstile的自定义页面，以验证用户实际上是人类，”该公司表示，“这些旋转门使得电子邮件保护系统（如URL扫描器）更难检测到钓鱼网站。”

近几个月来，短信钓鱼活动冒充阿联酋执法机构发送虚假的付款请求，涉及不存在的交通违规、停车违规和执照续期。为此目的而设立的一些虚假网站被归因于一个名为Smishing Triad的已知威胁行为者。

中东的银行业客户也成为了一种复杂的社交工程计划的攻击目标，该计划在电话中冒充政府官员，并使用远程访问软件窃取信用卡信息和一次性密码（OTP）。

Group-IB在今天发布的一项分析中表示，这场针对个人数据已在暗网上通过窃取器恶意软件泄露的女性消费者的活动，据推测是未知母语为阿拉伯语的人所为。

“骗子利用受害者的合作意愿和服从指令的意愿，希望为他们不满意的购买获得退款。”

Cofense发现的另一场活动涉及发送声称来自美国社会保障管理局的电子邮件，其中嵌入了下载ConnectWise远程访问软件安装程序的链接或将受害者定向到凭据收集页面。

这一发展发生在根据Interisle Consulting Group的一份报告，在2023年9月至2024年8月期间报告的网络犯罪域名中，通用顶级域名（gTLD）如.top、.xyz、.shop、.vip和.club占37%，尽管它们仅占域名市场总量的11%。

由于价格低廉且缺乏注册要求，这些域名已成为恶意行为者的诱人目标，从而为滥用打开了大门。在广泛用于网络犯罪的顶级域名中，有22个提供的注册费用低于2.00美元。

威胁行为者还被发现宣传一个名为PhishWP的恶意WordPress插件，该插件可用于创建可自定义的支付页面，模仿Stripe等合法支付处理器，通过Telegram窃取个人和财务数据。

SlashNext在一份新报告中表示：“攻击者既可以入侵合法的WordPress网站，也可以设置欺诈网站来安装它。在配置插件以模仿支付网关后，不明真相的用户会被诱骗输入其支付详情。插件会收集这些信息并将其直接发送给攻击者，通常是在实时状态下。”

 

---

消息来源：The Hacker News, 编译：zhongx； 

本文由 HackerNews.cc 翻译整理，封面来源于网络；  

转载请注明“转自 HackerNews.cc”并附上原文