FireEye Email Security最近遇到了各种钓鱼攻击，它们主要来自美洲和欧洲，使用源代码混淆受损或错误的域名。这些域名伪装成真实的网站并窃取了信用卡数据等个人信息。然后，被窃取的信息被共享给跨平台、基于云的即时消息传递应用程序。
 
在繁忙的假期前夕，交付量激增，这篇文章重点介绍了一个涉及假DHL跟踪页面的网络钓鱼活动。尽管针对航运服务用户的网络钓鱼攻击并不新鲜，但这些示例中使用的技术比现有的网络钓鱼工具包中的技术更为复杂。
 
该行动中使用了基于WOFF的替代密码，针对本地化的目标定位以及各种逃避技术，我们将在此博客中进行阐述。
该活动采用了多种技术来逃避检测。如果请求来自某些被阻止的IP地址，则该页面将不提供钓鱼页面。在以下情况下，后端代码（图8）为用户提供“ HTTP / 1.1 403 Forbidden”响应header：
 
· IP被查看过五次（AntiBomb_User func）
 
· IP主机解析为其禁止使用的主机名列表（'google', 'Altavista', 'Israel', 'M247', 'barracuda', 'niw.com.au' and more) (AntiBomb_WordBoot func)
 
· IP位于其自身的本地阻止列表csv（工具包中的x.csv）中（AntiBomb_Boot func）
 
· IP已经发布过3次帖子（AntiBomb_Block func）