.COM 顶级域名仍是网络犯罪分子的主战场,持续成为全球攻击者滥用最严重的域名类型,主要用于搭建凭证钓鱼网站。
最新情报显示,攻击者正借助 .COM 域名广泛认可和高度信任的特性,诱导用户在多个平台上泄露敏感的登录凭证。
这些攻击通常通过精心构造的多阶段钓鱼链路展开。第一阶段是伪装成正常沟通的钓鱼邮件,嵌入初始链接,引导用户跳转至第二阶段地址——真正用于采集凭证的钓鱼页面。此分层攻击手法不仅提高了绕过检测系统的可能性,也显著提升了攻击成功率。
.COM 域名被滥用的核心原因在于其全球通用性与用户的心理信任。相比一些带有国家/地区标识的 TLD,.COM 更容易与真实网站混淆,因而成为覆盖多个行业、面向全球用户的持续攻击行动的理想选择。
Cofense 安全研究人员指出,攻击者在滥用 .COM 域名时表现出极强的目标一致性,其中以仿冒 Microsoft 相关服务的钓鱼活动最为普遍。这一趋势反映出微软企业解决方案的广泛部署,也显示出企业级凭证在后续攻击链中的高价值。
基础设施与托管模式分析
对这些 .COM 钓鱼域名的分析显示,攻击者普遍采用高度隐蔽的运维手段。
研究发现,大量恶意 .COM 域名托管于主流云服务平台,尤其是 Cloudflare,其在保障可靠性的同时,也为攻击者提供了一定的匿名性。
攻击基础设施通常由一个合法主域构成,动态生成大量子域名,这些子域往往是无规律的字母数字组合,避免被传统安全规则轻易识别。
Example malicious subdomain structure:
https://ag7sr.legitimatesite.com/login
https://md6h60.businessdomain.com/secure这些子域承载着完整的凭证钓鱼页面,集成 Cloudflare Turnstile 等高级规避技术,既能模拟合法验证过程,又可能阻挡安全系统的自动扫描。
与此同时,主域通常不可访问或呈现无害内容,而子域则活跃运行,诱导用户输入凭证,通过高度仿真的登录界面完成欺骗。
研究人员总结出 .COM 钓鱼活动中常见的子域生成模式,这些随机化的恶意端点设计,极大增强了攻击者的作战效率,并有效规避了基于特征的检测机制。
发表评论
您还未登录,请先登录。
登录