一封​​电子邮件引导我调查当前最大的网络钓鱼活动之一!

一封​​电子邮件引导我调查当前最大的网络钓鱼活动之一!

2026年5月2日

作者: 胡安·马修斯·雷贝洛·桑托斯

1. 执行摘要

本技术报告记录了我在收到包含涉嫌获奖通知和待决财务存款的欺诈性电子邮件后进行的取证调查。分析揭示了复杂的网络犯罪基础设施在国际范围内运营网络钓鱼、恐吓软件和附属欺诈活动。

在调查过程中,我发现了一系列重定向,其中包括:

  • 带有社会工程学的电子垃圾邮件;
  • 滥用 Cloudflare Pages 基础设施;
  • 刚果民主共和国政府雇员的承诺;
  • 命令和控制基础设施(C2);
  • 使用域生成算法(DGA);
  • 通配符 SSL 证书;
  • 并通过 Impact Radius 通过 Norton/Gen Digital 附属计划实现货币化。

该行动展示了高水平的技术专业水平、反分析规避和恶意活动的自动化。

2. 调查的起源

在我收到一封发送到以下地址的明显伪造的电子邮件后,调查开始了:

[email protected]

邮件的主题是:

奖品代码

该电子邮件的内容将阿拉伯文本与财务紧急信息混合在一起,这是一种用于阻碍反垃圾邮件过滤器并增加合法性外观的策略。

鉴定摘录:

➡️ ➡️ ➡️ ➡️ ➡ ➡ ➡ ➡ ➡ ➡ ➡ ➡ ➡ ➡ ➡ ➡ ➡ ➡ ➡ ➡ ➡ ➡ ➡ ➡ ➜ ➡ ➡ ➡ ➡ ➡
抱歉,暂无相关信息

大概翻译:

“感谢您参加比赛。
请保留该代码,以便抽奖时验证。”

该消息还包含一个所谓的促销代码:

代码:9132289937520370

然而,该电子邮件的真正目的是诱骗用户点击邮件中间插入的恶意链接:

⚠️ 紧急:您的 3,639.00 美元存款已被冻结。现在确认:
https://obs.regideso.cd/?8nqrpm

该内容还显示了我的电子邮件地址,以增加个性化和合法性的感觉:

[email protected]

分析表明,该电子邮件的构建目的是结合:

  • 虚假奖项;
  • 财务紧迫性;
  • 外语;
  • 社会工程;
  • 并部分隐瞒了骗局。

目的是诱导受害者立即点击。

3. 恶意重定向链

访问链接时:

https://obs.regideso.cd/?8nqrpm

我发现该域仅充当操作中的中间中继。

调查期间观察到的完整流程是:

垃圾邮件
↓
obs.regideso.cd
↓
亚麻码头河.pages.dev
↓
yandehyto.com 的随机子域
↓
恐吓软件/网络钓鱼端域

最终确定的目的地包括:

  • pelnoriva.shop
  • baleiddiste.com
  • phidatharacce.com

该架构展示了专业的基础设施混淆链,使得跟踪、自动阻止和取证分析变得困难。

4. 承诺的中继分析

域名:

obs.regideso.cd

解析为IP:

161.35.30.54

托管在 DigitalOcean 基础设施上。

该资产似乎属于刚果民主共和国公共供水公司:

  • 雷吉德索公司

在分析网络环境时,我发现:

  • 未经授权的PHP文件; *充当重定向器的脚本;
  • Laravel环境暴露;
  • 后端在调试模式下运行。

观察到的文件:

  • 信息.php
  • index.php

绝对内部服务器路径也被暴露:

C:\api-factures\api-factures\

该信息的曝光证实了 Laravel 框架存在严重的强化缺陷和不安全的配置。

5. 命令和控制基础设施 (C2)

操作的核心集中在服务器上,操作如下:

  • 中央重定向器;
  • 点击跟踪器;
  • 货币化网关;
  • 和活动控制器。

确定的端点:

/click.php

6. 逃避技巧

6.1 针对分析的伪装

我发现服务器实施了主动伪装:

  • 研究人员;
  • 自动扫描仪;
  • 数据中心IP;
  • 像“curl”和“Nmap”这样的工具。

当检测到可疑环境时,服务器响应如下:

``http HTTP/1.1 302找到了 地点:http://yahoo.com/


或:

``http
地点:http://google.com/

这项技术极大地减少了恶意登陆页面对安全系统的暴露。

6.2 DGA 和通配符 DNS

在调查过程中,我发现域中广泛使用通配符 DNS:

yandehyto.com

任何随机子域都正确解析到 C2 服务器。

已识别的例子:

  • q5tzrz.yandehyto.com
  • sj9k9f.yandehyto.com
  • whonou.yandehyto.com

该技术允许无限轮换 URL,而无需注册新域。

6.3 通配符 SSL 证书

运营商使用了 Let's Encrypt 颁发的有效通配符证书:

*.yandehyto.com

这使得所有动态生成的子域都可以使用有效的 HTTPS,从而提高了诈骗的可信度。

7. 有效负载恐吓软件分析

重定向后,受害者被重定向到托管在以下位置的页面:

  • pelnoriva.shop
  • baleiddiste.com
  • phidatharacce.com

这些页面运行恶意 JavaScript,模拟以下接口:

  • 迈克菲全面保护

该代码包含以下函数:

```javascript start_circleProgress()


模拟虚假防病毒扫描并显示不存在的威胁:

* `Win32/Hoax.Renos.HX`
* `木马 IRC/Backdor.Sd.FRV`

我还确定了:

* 全屏 API 的使用;
* 导航阻塞;
* 标签焦点捕获;
* 拦截`onbeforeunload`。

目的是产生心理压力,促使受害者立即购买杀毒软件。

---

# 8. 联盟欺诈

最终的货币化是通过重定向到合法页面实现的:

*诺顿LifeLock
*Gen Digital

该活动滥用了联盟平台:

* 冲击半径

发现的标识符:

````文本
合作伙伴 ID:3076190
活动 ID:4405

该运营模式将恐吓软件引起的恐惧转化为金融佣金。

9. 法医证据

HTTP 重定向

``http HTTP/1.1 302 找到 服务器:nginx/1.28.0 日期:2026 年 5 月 1 日星期五 20:12:37 GMT 地点:https://sj9k9f.yandehyto.com/click.php?lp=1&uclick=d7qg...


隐形检测:

````文本
[检测已触发] -> 重定向至 http://yahoo.com/

SSL 证书

深度=0 CN = yandehyto.com

X509v3 主题备用名称:
DNS:*.yandehyto.com
DNS:yandehyto.com

发行人:
C=美国
O = 让我们加密
CN=E7

10. 承诺指标 (IOC)

IP

  • 161.35.30.54

域名

  • smilingtooth.com.sa
  • obs.regideso.cd
  • 亚麻码头河.pages.dev
  • yandehyto.com
  • baleiddiste.com
  • phidatharacce.com
  • pelnoriva.shop
  • pelnoriva.pelnoriva.shop

DGA 子域

  • q5tzrz.yandehyto.com
  • sj9k9f.yandehyto.com
  • whonou.yandehyto.com

会员 ID

影响半径合作伙伴 ID:3076190
活动 ID:4405

11. 结论

根据进行的整个调查,我得出的结论是,所分析的活动代表了高度专业的网络犯罪活动,使用了:

  • 网络钓鱼;
  • 恐吓软件;
  • 隐形;
  • DGA;
  • 滥用合法基础设施;
  • 联盟欺诈;
  • 和受损的第三方服务器。

该业务在以下方面展现了强大的技术能力:

  • 反分析规避;
  • 社会工程;
  • 欺诈性货币化;
  • 活动自动化;
  • 和基础设施隐藏。

12. 可靠的参考和 URL 分析

以下是证明威胁情报平台上的域和 URL 分析的链接。

病毒总数

AlienVault OTX

滥用IPDB

Censys

安全追踪

urlscan.io

初丹

注意: 恶意活动和妥协迹象已报告给有关当局。