Malwarebytes Blocks Suspicious Yahoo Mail Redirects to Opaque Domains

执行摘要

Malwarebytes 一直在阻止来自 Yahoo Mail 网页界面到一系列第三方域名的后台连接，包括 cook.howduhtable.com，这些域名表现出通常与恶意广告或跟踪基础设施相关的特征。这些域名由 Yahoo Mail 中嵌入的组件调用，使用频繁变化的不透明子域名和编码重定向链，导致多个安全供应商将它们归类为风险域名。Malwarebytes 强调，它没有发现 Yahoo Mail 本身被入侵的证据，但预防性阻止中断了一系列呈现较高风险的后台调用。

技术分析

根据 Malwarebytes Labs 发布于 2026 年 5 月 14 日的分析，Yahoo Mail 网页界面的用户报告了多次由后台连接到第三方域名触发的网络保护警报。当 Yahoo Mail 页面加载用于导航、功能和度量的嵌入组件时，就会触发警报，这些组件会调用 cook.howduhtable.com 和相关子域名等域名。这些调用经常出现在包含 /ybar/mail.yahoo.com/ 的 URL 中，带有长编码参数，解析到类似 https://gpt.mail.yahoo.net/sandbox?client=novation&version=0.1&haq=1&cache=1 的 URL。

Malwarebytes 指出，该基础设施使用频繁变化的、非描述性的子域名，这些子域名不像正常的面向消费者的 Yahoo 地址，同时还有编码参数和链式重定向，这些都会掩盖最终目的地。多个安全供应商和自动化声誉源已经将这些域名标记为风险或恶意，一些观察到它们与不想要或有害的活动有关。重定向是由 Yahoo Mail 界面中的嵌入组件触发的，而不是用户有意浏览到这些域名。

该公司明确声明，它尚未确定 Yahoo Mail 本身被入侵，或者 Yahoo 故意分发恶意软件。然而，从网页界面调用的第三方或内部组件通过行为类似于通常与恶意或欺骗性广告和跟踪相关的基础设施的域名建立连接。Malwarebytes 将此描述为创造了不必要的风险，因为任何注入内容或通过不透明重定向链运行沙盒组件的机制，如果被滥用或颠覆，可能会在用户点击可疑链接之前暴露用户于有害内容。

缓解措施与建议

Malwarebytes 建议用户保持 Web Protection 和 Browser Guard 启用，以确保如果重定向改变行为或开始提供有害内容，阻止措施仍然有效。公司建议不要将可疑域名添加到白名单，因为这样做将允许它们的流量未经过滤地加载。用户可以通过访问 Yahoo Mail 的私密或无痕浏览器会话来减少中断，这些会话在关闭时丢弃 cookie 和本地存储，并通过定期清除与 Yahoo 相关的 cookie 和站点数据。Yahoo 的付费无广告计划或信誉良好的内容阻止扩展也可能减少网络邮件界面中的广告驱动行为。