研究人员发现了一个新的针对英国用户的垃圾邮件运动，MyOnlineSecurity.com网站发现了大量与此次活动相关的垃圾邮件，诈骗者试图用他们的方法破坏DNS。垃圾邮件包含HTML附件，单击该附件可将用户重定向到欺诈交易网站。

该活动专门针对英国用户。如MyOnlineSecurity.com所述，欺诈网站https://appteslerapp[.]com仅为英国用户提供服务，英国以外的用户无法打开该网页，会显示空白页面或“加载”页面。

活动中使用的电子邮件邮箱来自早前被Necurs僵尸网络使用的IP地址。

恶意HTML附件包含一个base64编码的URL，用于调用谷歌DNS服务来查找域。进一步分析，是DNS TXT记录指示HTML附件将用户重定向到欺诈站点。

活动中使用的域名最终解析为一个由乌克兰公司AS48031托管的单一域名。

研究人员发现了一场相当短暂、数量相当少的垃圾邮件攻击，看起来像是通过Necurs僵尸网络发起的，并且在DNS系统中使用了一个“新的”安全漏洞。该活动只针对英国，只有一个英国IP号码将重定向到scumware网站。其他国家用户完全不受次活动影响。

到目前为止，最终的目标网站是https://appteslerapp.com/，该网站正在推行一个高风险的股票交易计划。

但在这种情况下，实际的诈骗网站并不值得特别的关注，这完全取决于攻击者如何把受害者重定向到诈骗网站。很有可能这只是一次尝试，看看能不能用同样的方法分发恶意软件。

今年早些时候，研究人员发现了一系列涉及Godaddy的DNS攻击活动，涉及到其“悬空域名”，目前该漏洞已被修复。

此次活动与“悬空域名”有一些相似之处，但不涉及Godaddy，而是许多其他托管公司。

到目前为止，研究人员总共收到了六封DNS妥协方案电子邮件，这六封邮件都很简单，并带有HTML附件。

所有的电子邮件都来自以前被Necurs僵尸网络使用的IP号码。“发件人”框中列出的域不能追溯到它们的IP号码。

窗口中的base .icu域每隔几分钟更换一次。此外，每次访问谷歌rdns解析器时，子域名和html文件名也会更改，因此没有人会被重定向到完全相同的位置。

所有icu域都将把英国用户重定向到https://appteslerapp.com/，但在研究人员的测试中，其其它国家的用户并不能进入该网站，只会显示一个简单的加载消息或空白页面。

Fetch指令中的所有域都使用相同的dns服务器。

此外，所有这些域名解析到176.103.48.228——一个著名的乌克兰托管公司AS48031，以恶意软件、网络钓鱼和诈骗而出名，所有.icu站点也由相同的IP 176.103.48.228托管。

在过去的一个月左右，所有的icu域名都是通过namecheap注册的，这些域名通常的特价销售，价格都不到2美元，这使得犯罪分子可以非常容易地购买到数百个域名。