網路安全研究人員研究發現，惡意行為者透過在各種惡意垃圾郵件活動中偽造寄件者電子郵件地址攻擊正持續獲得成功。一般認為，偽造電子郵件的寄件者地址嘗試以利用數位信件以合法方式並繞過安全機制的一種方式，以規避安全機制將其標記為惡意郵件。

雖然現電子郵件有網域金鑰識別郵件 (DomainKeys Identified Mail, DKIM)1、在基於網域的訊息認證、報告和一致性 (Domain-based Message Authentication, Reporting & Conformance ,DMARC)2以及寄件者策略框架 (Sender Policy Framework,SPF)3等安全措施可用於防止垃圾郵件發送者欺騙知名網域，但這些措施越來越多地導致他們在營運中利用舊的、被忽視的域名i來進行攻擊。如此，電子郵件就有可能繞過依賴網域年齡來辨識垃圾郵件的安全檢查。

DNS威脅情報公司Infoblox在與The Hacker News分享的一份新分析報告中發現，包括Muddling Meerkat 在內的威脅行為者濫用了其自己的一些舊的、廢棄的頂級域名(TLD)，來進行攻擊，經分析這些域名內容未被使用已近20年。該公司表示：「他們缺少大多數DNS記錄，包括通常用於檢查寄件者域真實性的記錄，例如寄件者策略框架 (SPF) 記錄」。「這些域名很短，並且屬於聲譽很高的頂級域名」。

有些攻擊活動至少從2022年12月已開始活躍，涉及寄送帶有附加檔案的電子郵件，附加檔案中包含指向釣魚網站的QR code。它還指示收件人打開附加檔案並使用手機上的行政支付應用程式掃描QR code。這些有害的電子郵件以稅收相關資訊當誘餌，同時也以不同的方式用電子郵件的四位數密碼鎖定QR code文件。在案例中，釣魚網站要求使用者輸入身份和信用卡詳細資料，然後向攻擊者進行欺詐性付款。

Infoblox解釋說：「儘管這些攻擊活動確實使用在Muddling Meerkat中的被忽視的網域名稱，但似乎廣泛地欺騙隨機網域名稱，甚至是不存在的網域名稱」。「網路犯罪分子可能會使用這種技術來避免同一寄件者重複的電子郵件」。該公司甚至還觀察到了假冒Amazon、Mastercard和SMBC（三井住友銀行）等知名品牌的網路釣魚活動，利用流量分配系統 (Traffic Distribution System, TDS) 將受害者重新導向到虛假登錄網頁，其目的是竊取使用者的憑證。已被識別並使用偽造寄件者電子郵件住址如下：

• ak@fdd.xpv[.]org
• mh@thq.cyxfyxrv[.]com
• mfhez@shp.bzmb[.]com
• gcini@vjw.mosf[.]com
• iipnf@gvy.zxdvrdbtb[.]com
• zmrbcj@bce.xnity[.]net
• nxohlq@vzy.dpyj[.]com

與有關勒索的垃圾郵件為電子郵件收件人被要求支付一些虛擬貨幣，以刪除已被攻擊安裝在使用者系統上的一些遠端存取木馬或相關影片或資料。Infoblox 報告中：「攻擊者偽造使用者自身的電子郵件位址，並要求自我檢查」，並告知使用者的設備已被入侵，並作為證據，攻擊者聲稱相關隱私資料是從使用者自身的帳戶所發送。

此次攻擊揭露是自2024年9月初，政府機構、法律界和建築業已成為Butcher Shop的網路釣魚攻擊活動的目標，該攻擊活動目的在竊取Microsoft 365憑證。（如圖1所示）

圖1：Butcher Shop的網路釣魚攻擊示意圖

根據Obsidian Security分析，這些攻擊濫用Canva、Dropbox DocSend和 Google Accelerated Mobile Pages (AMP) 等可信任平台將使用者重新導向到惡意網站。其他管道還包括電子郵件和受感染的WordPress網站。「在顯示網路釣魚網頁前，還會顯示一個帶有Cloudflare Turnstile的自訂網頁，用以驗證使用者是否確實是自然人而非機器」。「這些驗證方法使得電子郵件保護系統（如 URL掃描器）更加難以檢測到網路釣魚網站。”

最近幾個月，有人發現有簡訊網路釣魚活動冒充了阿聯酋執法機構。發送虛假的交通違規、停車違規和駕照需續約的虛假付款請求。這類的虛假網站被歸類到一個名為「Smishing Triad」的已知威脅攻擊行為者。中東的銀行客戶也成為此次電子郵件社交工程攻擊目標，該攻擊在電話中冒充政府官員並使用遠端存取軟體竊取信用卡資訊和雙因子認證一次性動態密碼(one time password , OTP)。

經分析評估，此資攻擊活動是由未知的阿拉伯語語系不法人士所為，主要以個人相關資料透過暗網上的竊取惡意軟體洩漏的女性消費者。Group-IB在公布的分析報告中表示：「該詐騙行為專門針對那些曾經透過政府官方網站或行動應用程序方式提交過有關至網上購物因產品或服務的商業的一些檢舉投訴個人。”

「詐騙者利用受害者因無知或怕麻煩，希望因其購買不滿意的產品而期望獲得退款，而願意合作和服從其指示的心態」。Cofense分析發現的另一個攻擊活動是發送聲稱來自美國社會安全局的電子郵件，其中嵌入下載ConnectWise遠端存取軟體安裝程式的連結或將受害者引導至憑證收集的網頁。（如圖2所示）

圖2: 嵌入下載遠端存取軟體安裝程式連結或引導至憑證收集的網頁

此次攻擊活動均發生在通用頂級網域(gTLD)（例如.top、.xyz、.shop、.vip 和.club），自2023年9月至2024年8月止報告中網路犯罪網域的37%，儘管這些網域僅佔11%是根據Interisle諮詢集團的報告，網域名稱市場規模確高達 100億美元。由於價格低廉且缺乏註冊要求，這些網域名稱已成為惡意攻擊行為者有利可圖的資源，從而為濫用並廣泛用於網路犯罪的gTLD中，有22個的註冊費甚至低於2.00美元。還發現威脅攻擊行為者宣傳名為PhishWP的惡意 WordPress擴充元件，該擴充元件可用於創建模仿Stripe等合法支付處理器的自訂支付網頁，可透過Telegram竊取個人和財務資料。SlashNext在一份新報告中表示：「攻擊者可以入侵合法的WordPress網站，也可設立詐騙網站來安裝」。「將擴充元件配置為模仿支付網路匣道器後，毫無戒心的使用者就有可能被誘騙輸入支付詳細資訊。該擴充元件會收集這些資訊並即時將其直接發送給攻擊者」。

註1:網域金鑰識別郵件 (DomainKeys Identified Mail, DKIM): 是一套電子郵件認證機制，使用公開金鑰加密的基礎提供了數位簽章與身分驗證的功能，以檢測寄件者、主旨、內文、附件等部份有否被偽冒或竄改。一般來說，傳送方會在電子郵件的標頭插入DKIM-Signature及電子簽名資訊。而接收方則透過DNS查詢得到公開金鑰後進行驗證。

註2:基於網域的郵件驗證、報告和一致性(Domain-based Message Authentication, Reporting & Conformance ,DMARC)原則會告知接收電子郵件伺服器在檢查網域的寄件者原則架構 (SPF) 和網域金鑰識別郵件 (DKIM) 記錄（這些記錄是額外的電子郵件驗證方法。）後該怎麼做。為了防止電子郵件詐騙，DMARC 和其他電子郵件驗證方法是必要的。每個電子郵件地址都有一個網域，也就是「@」符號後面的地址部分。惡意方和垃圾郵件發信者有時會嘗試從他們未經授權使用的網域傳送電子郵件，例如有人在信件上寫錯誤的回郵地址。他們可能會這樣做的原因之一是為了欺騙使用者（例如在網路釣魚攻擊中）。

註3:發件人策略框架（Sender Policy Framework,SPF）； RFC 4408）是一套電子郵件認證機制，可以確認電子郵件確實是由網域授權的郵件伺服器寄出，防止有人偽冒身分網路釣魚或寄出垃圾電子郵件。SPF允許管理員設定一個DNS TXT記錄或SPF記錄設定傳送郵件伺服器的IP範圍，如有任何郵件並非從上述指明授權的IP位址寄出，則很可能該郵件並非確實由真正的寄件者寄出（郵件上聲稱的「寄件者」為假冒）

本文參考自：https://thehackernews.com/2025/01/neglected-domains-used-in-malspam-to.html