.COM 顶级域名仍是网络犯罪分子的主战场，持续成为全球攻击者滥用最严重的域名类型，主要用于搭建凭证钓鱼网站。

最新情报显示，攻击者正借助 .COM 域名广泛认可和高度信任的特性，诱导用户在多个平台上泄露敏感的登录凭证。

这些攻击通常通过精心构造的多阶段钓鱼链路展开。第一阶段是伪装成正常沟通的钓鱼邮件，嵌入初始链接，引导用户跳转至第二阶段地址——真正用于采集凭证的钓鱼页面。此分层攻击手法不仅提高了绕过检测系统的可能性，也显著提升了攻击成功率。

.COM 域名被滥用的核心原因在于其全球通用性与用户的心理信任。相比一些带有国家/地区标识的 TLD，.COM 更容易与真实网站混淆，因而成为覆盖多个行业、面向全球用户的持续攻击行动的理想选择。

Cofense 安全研究人员指出，攻击者在滥用 .COM 域名时表现出极强的目标一致性，其中以仿冒 Microsoft 相关服务的钓鱼活动最为普遍。这一趋势反映出微软企业解决方案的广泛部署，也显示出企业级凭证在后续攻击链中的高价值。

基础设施与托管模式分析

对这些 .COM 钓鱼域名的分析显示，攻击者普遍采用高度隐蔽的运维手段。

研究发现，大量恶意 .COM 域名托管于主流云服务平台，尤其是 Cloudflare，其在保障可靠性的同时，也为攻击者提供了一定的匿名性。

攻击基础设施通常由一个合法主域构成，动态生成大量子域名，这些子域往往是无规律的字母数字组合，避免被传统安全规则轻易识别。

Example malicious subdomain structure:
https://ag7sr.legitimatesite.com/login
https://md6h60.businessdomain.com/secure

这些子域承载着完整的凭证钓鱼页面，集成 Cloudflare Turnstile 等高级规避技术，既能模拟合法验证过程，又可能阻挡安全系统的自动扫描。

与此同时，主域通常不可访问或呈现无害内容，而子域则活跃运行，诱导用户输入凭证，通过高度仿真的登录界面完成欺骗。

研究人员总结出 .COM 钓鱼活动中常见的子域生成模式，这些随机化的恶意端点设计，极大增强了攻击者的作战效率，并有效规避了基于特征的检测机制。