Tienes razón, puedes utilizar la variable %{HTTP_REFERER} (suponiendo que los visitantes llegan referidos del sitio atacante) para bloquearlos

Aquí tienes un ejemplo http://mikebeach.org/2011/04/how-to-...sing-htaccess/

Espero te sirva, también es buena idea que pongas la queja con el proveedor del dominio atacante