近期一場針對德國使用者的網路攻擊活動浮出水面，該活動利用精心策劃的成人及羅曼史主題詐騙，旨在傳播惡意軟體。這項複雜的詐騙行動由網路安全研究公司Sublime Security發現，https://www.google.com/search?q=%E4%B8%A6%E8%88%87Hackread.com獨家分享其調查結果，揭示了攻擊者如何利用合法流量分發系統（TDS）Keitaro TDS，將毫無戒心的受害者重新導向至惡意網域。

詐騙的起點是一封看似引人入勝的電子郵件，其中包含誘惑性的語言和情色內容連結，旨在吸引收件人。Sublime Security的AI驅動檢測引擎識別出一個關鍵的警示信號：電子郵件中直接包含了受保護壓縮檔案的密碼，這對於合法的通訊而言是極不尋常的做法。此外，這些郵件通常來自不熟悉的寄件人，其名稱、電子郵件地址和回覆細節都存在不一致。

攻擊者利用Keitaro TDS的精準定位功能，確保只有特定地區（如德國）的使用者，甚至在特定時間內，才會接觸到惡意內容。當受害者點擊郵件中的惡意連結時（通常偽裝成影片預覽圖片或壓縮檔案連結），系統會檢查其地理位置。若確認使用者在德國，一個約300MB的ISO檔案便會從俄羅斯的伺服器在後台自動下載，其中包含真正的惡意軟體。這種精準的投放機制顯著提高了攻擊的成功率。

一旦下載，這個ISO檔案旨在規避檢測。移除額外的垃圾數據後，其餘內容是一個標準的容器，可以被掛載為磁碟機。這個虛擬磁碟機隨後包含了另一個大型可執行檔「lovely_photos.exe」，以及一個包含自解壓縮檔案密碼的文字文件。惡意軟體執行後，會要求輸入密碼（此密碼已在原始郵件和提取的文字檔中提供），然後解壓縮多個檔案，包括露骨的圖片和其他檔案到使用者的臨時目錄。

接著，一個批次腳本會運行，它會建立一個AutoIt解釋器來執行一個高度偽裝的AutoIt腳本。AutoIt雖然是一種合法的腳本語言，但在此處卻被武器化。該腳本會進一步嘗試透過檢查運行中的服務並延遲執行來繞過防毒軟體。最終的AutoIt腳本，經過嚴密混淆，會透過創建一個名為「DragonMapper」的Windows排程任務來建立持久性，確保惡意軟體在使用者每次登入時都能運行。

這項研究提供了一個重要的警示，提醒我們威脅行為者能夠創建高度針對性的網路釣魚活動，透過量身定制的訊息來提高其成功率。為了防範此類詐騙，使用者應對可疑電子郵件中的異常警示信號保持警惕，例如包含密碼的壓縮檔、寄件人資訊不一致等。同時，定期更新防毒軟體、作業系統及應用程式，並避免點擊來路不明的連結或下載可疑檔案，是保護自身網路安全的關鍵步驟。企業和個人都應加強網路安全意識，並考慮採用更先進的威脅檢測工具來應對日益複雜的網路攻擊。