Adfilt项目新增钓鱼网站拦截规则分析

近期Adfilt项目的Anti-Malware恶意软件拦截列表新增了两条重要规则，针对的是通过在线调查工具传播的钓鱼攻击链。这类攻击具有典型的社交工程特征，攻击者利用合法服务作为跳板实施多阶段攻击。

攻击链技术分析

攻击者首先通过research.net在线调查平台发送钓鱼信息，诱导用户点击伪装成调查问卷的恶意链接。该链接经过精心设计，包含多层重定向：

1. 初始链接使用research.net的合法域名，包含加密参数
2. 第一跳转指向secured21.elektro-cigerli.com子域名（仅支持HTTP协议）
3. 最终跳转至钓鱼网站docssa.online

值得注意的是，攻击者刻意选择了elektro-cigerli.com这个合法企业域名的子域名进行攻击，这种手法可以：

• 绕过简单的域名黑名单检测
• 利用主域名的信誉降低用户警惕性
• 规避HTTPS证书检查（子域名仅支持HTTP）

技术特征

1. 多阶段跳转：攻击链包含至少三次跳转，增加追踪难度
2. 协议差异：中间节点刻意不使用HTTPS，可能是为了：
   • 避免证书验证
   • 方便中间人攻击
   • 降低安全软件检测率
3. 域名伪装：使用合法企业子域名作为跳板
4. 参数混淆：初始链接包含大量加密参数，可能是用于：
   • 统计攻击效果
   • 动态生成最终目标
   • 绕过URL检测

防护建议

对于普通用户：

• 谨慎对待通过调查工具发送的链接
• 注意检查最终访问的域名是否与声称的服务一致
• 警惕非HTTPS的跳转链接

对于安全研究人员：

• 建议监控research.net等调查平台的滥用情况
• 注意子域名劫持类攻击
• 考虑将多阶段跳转作为检测指标

Adfilt项目此次更新的规则已能有效拦截该攻击链的两个关键节点，建议用户及时更新过滤列表。这类攻击表明，现代网络钓鱼正越来越多地利用合法服务的"灰色地带"实施攻击，需要更精细化的防御策略。