网络犯罪分子越来越多地利用合法的电子邮件营销平台来发起复杂的网络钓鱼活动，利用这些服务的可信声誉来绕过安全过滤器并欺骗受害者。

这种新兴的威胁载体代表了网络钓鱼策略的重大演变，攻击者滥用现有电子邮件营销公司提供的点击跟踪域和 URL 重定向服务来掩盖他们的恶意意图。

这些活动利用 Klaviyo 的“klclick3.com”和 Drip Global 的“dripemail2.com”域名等平台，这些平台是合法的点击跟踪服务，旨在监控用户与营销电子邮件的互动。

通过将恶意 URL 路由到这些受信任的域，攻击者可以创建合法性的外表，帮助他们的网络钓鱼电子邮件逃避传统安全系统的检测。

该技术特别阴险，因为它利用了用户对公认营销平台的固有信任。

最近的分析表明，这些活动通常采用复杂的诱饵，包括虚假语音邮件通知、DocuSign 文档请求和与付款相关的消息。

攻击者表现出了非凡的适应能力，将传统的网络钓鱼技术与现代逃避方法相结合，包括CAPTCHA验证、受损域名以及滥用 Amazon Web Services 和 Cloudflare 等云服务。

Trustwave 研究人员发现，包含熟悉模式和类似网络钓鱼模板的网络钓鱼 URL 数量显著增加，并注意到电子邮件营销平台滥用现象的再度抬头以及 URL 重定向器的广泛使用。

他们的 PageML 系统将机器学习组件与 URL 智能框架相结合，在实时检测这些不断演变的威胁方面发挥了重要作用。

高级重定向和规避技术

这些活动的技术复杂性在其多层重定向机制中显而易见。

在一个记录在案的案例中，攻击者使用了 Base64 编码的重定向方案，其中初始网络钓鱼 URL 包含编码字符串，解码后会显示实际的恶意目的地。

源代码分析表明：

ucis.RedirectUrl = "aHR0cHM6Ly9vZmZpY21hc2RpbmRvbW1qZW9haWV1bnQuZXN6a3FlaHJoeXpkdXF2d3JiZ3h1dWd4YXF1bXJtLmlwLWRkbnMuY29tL2YvNFNTd08yUU5LQ3B5MWdDeEtzX0w=";
ucis.RedirectUrl = atob(ucis.RedirectUrl); // decode to real URL

此外，攻击者通过 JavaScript 事件监听器禁用右键单击功能来实施反分析措施：

addEventListener("contextmenu", function(e) {
    e.preventDefault();
});

这些活动还采用了变色龙网络钓鱼技术，使用 Clearbit 等服务动态获取公司信息和徽标，以创建对特定受害者来说看似合法的个性化网络钓鱼页面。

这些页面通常集成Cloudflare Turnstile进行人工验证，在看似提供安全措施的同时又增加了另一层规避措施。

合法基础设施的滥用给网络安全团队带来了重大挑战，因为当恶意内容托管在受信任的域上时，传统的黑名单方法变得无效。

这一趋势强调了对先进的行为分析和基于机器学习的检测系统的需求，该系统能够识别恶意意图，而不管托管基础设施的声誉如何。