国外的FireEye尝试室有一套自动化系统，这套系统能够主动侦测最新注册的恶意域名。所谓的恶意域名，绝大部分都是伪装成很多人知道的常用域名，以此来到达“恶意”的目的。好比说伪装成苹果公司的域名——FireEye的这套系统比来就检测到了本年一季度注册的不少此类垂钓域名。

这类域名的特色就是擅长伪装，跟合法域名“长得”很像。FireEye报道称，这些“伪苹果”域名针对的主要是中国和英国的苹果iCloud用户。虽说FireEye先前曾经追踪过不少类似的域名，但此次的情况对照奇特：这些站点的恶意垂钓内容是一样的，而且手段对照庞大，甚至能够规避垂钓检测系统。

众所周知，苹果用户都有个Apple ID。Apple ID可以说是苹果全套处事的核心账户了，贯穿于iCloud、iTunes Store、App Store等等处事。此中iCloud是苹果的云处事，实时保证用户苹果设备上的文档、照片、联系人等资料同步；别的iCloud也供给与伴侣分享照片、日历、地舆位置等的接口；它也能用来找回丢掉的iOS设备。

或许对很多人而言，iCloud更重要的感化是iCloud Keychain（密钥链）成果。这项成果用于存储用户的暗码、信用卡信息，这样一来用户在iOS和Mac设备上操纵时，iCloud就能辅佐用户自动填写这些信息了。有了Apple ID、暗码，还有其他一些信息（好比生日、设备解锁码），对设备就有对照完整的操纵权限，甚至可以使用信用卡信息在Apple Store购物。

而下面这些针对苹果用户的垂钓打击，就是高度组织化，而且对照庞大的垂钓打击，一部分针对中国人，一部分针对英国人。

下面这张列表就是FireEye Labs在本年3月份检测到的、针对苹果用户的垂钓域名。固然这些域名必建都不是苹果注册的，自然也不会指向苹果的产品：

显然，黑客是想仿照和iTunes、iCloud和Apple ID相关的网站，就是要吸引用户输入他们的Apple ID。访谒这些域名，绝大部分都泛起Apple ID、iTunes和iCloud的登录界面；网页还部署了非常庞大、可疑的JavaScript代码。据说对付阐颁发单和依赖HTML内容的反垂钓系统而言，这些网站能够很洪流平令其掉效。

从不雅察看到的功效来看，这些域名明显都是在中国注册的，而且注册用的还是QQ邮箱。

凡是我们通过简单检察HTML代码，大抵就能明了垂钓内容，理论上这些代码应该是一部分图片用来仿照苹果品牌，此外还有一些收集用户凭证的表单。一般来说，如果是这样的话，垂钓检测系统就能够在HTML页面内容中发明问题，但在此处却掉效了。

初看起来，这里只是向页面倡议简单的GET请求，响应内容倒是编码过的JavaScript代码。这么一来，除非是在浏览器或JS模拟器中真的去执行，否则还真是看不出其真实意图。下面就是从代码中获取到的编码字符串的一部分。

编码后的字符串StrHTML，需要通过一系列庞大的23种解密函数，包孕数制转换（number system conversions）、伪随机法则表达式的修饰符（pseudo-random pattern modifiers）等，然后还要加上给与了固定密钥“zycode”的XOR解码，最后才得到了真正的HTML垂钓内容（参见附录1）。所以说，仅依赖于响应部分HTML的垂钓检测系统，在此显然是根柢没法阐扬感化的。

一旦这些代码真正在浏览器中加载，混淆后的JavaScript也就构建起了iCloud垂钓页面，如上图所示。

这就是还原混淆后（de-obfuscated）的内容。