Cyberprzestępcy coraz częściej nadużywają domen .eu w atakach

Cyberprzestępcy coraz częściej używają nazw domen.eu w swoich kampaniach ataków, zgodnie z danymi od wielu firm ochroniarskich.

"Liczne szkodliwe domeny.eu zostały zarejestrowane w listopadzie, które są używane do infekowania komputerów złośliwym oprogramowaniem przez zestaw exploitów Blackhole "- powiedział Fraser Howard, główny analityk wirusów w Sophos, w poście na blogu w czwartek.

Blackhole to internetowy zestaw narzędzi do ataków wykorzystujący exploity do wykrywania luk w wtyczkach do przeglądarek, takich jak Adobe Reader, Flash Player lub Java, aby zainfekować komputery złośliwym oprogramowaniem.

[Czytaj dalej: Jak usunąć złośliwe oprogramowanie z komputera z Windows]

W ataku Sophos cyberprzestępcy hostowali swój Blackhole atakuj strony losowo wyglądających nazw domen z rozszerzeniem.eu, wszystkie wskazują na znany złośliwy serwer znajdujący się w Republice Czeskiej.

"Są krótkotrwałe; imiona są usuwane tylko na serwer docelowy przez krótki czas, zanim atakujący przejdą do następnego - powiedział Howard. "Ten rodzaj taktyki jest dość powszechny, wykorzystywany przez wiele zagrożeń w swoich próbach uniknięcia filtrowania bezpieczeństwa."

Jednak zazwyczaj w innych przypadkach używa się innych domen TLD (domen najwyższego poziomu), a nie.eu, powiedział Howard.

Sophos nie mógł od razu podać informacji o liczbie ataków w tym roku, które zawierały szkodliwe adresy URL.eu, ale według danych od producenta oprogramowania antywirusowego Bitdefender wzrasta poziom nadużyć w przestrzeni domeny.eu.

" W drugiej połowie 2012 roku zaobserwowaliśmy wzrost szkodliwej aktywności na TLD.eu, "powiedział Bogdan Botezatu, starszy analityk ds. E-zagrożeń w Bitdefender, za pośrednictwem poczty elektronicznej. "W porównaniu z pierwszą połową roku liczba złośliwych domen.eu prawie się potroiła, od 0,53% wszystkich incydentów związanych z bezpieczeństwem z udziałem domen TLD do 1,38%."

W pierwszym półroczu,.eu było 11. - najczęściej wykorzystywana domena najwyższego poziomu - powiedział Botezatu. "Teraz zajmuje ósme miejsce." Rosyjskie domeny,.com i.info wciąż mają największy udział w nadużyciach.

"Potwierdzamy trend, że domeny.in, jak również.eu są często używane do hostowania złośliwych stron internetowych i kampanii spamowych, "Przedstawiciel dostawcy oprogramowania antywirusowego Kaspersky Lab powiedział w piątek w e-mailu oświadczenie. "Oba typy domen znajdują się w pierwszej piętnastce krajowych stref domenowych złośliwych witryn. Należy również zauważyć, że notorycznie botnet HLUX (znany również jako Kelihos) używał kilku domen.eu. "

Atakujący zazwyczaj lubią się przemieszczać, Howard powiedział w piątek za pośrednictwem poczty elektronicznej. Jedynym powodem, dla którego wybraliby jedną TLD na drugą, jest to, że znaleźli dostawcę domeny, który pozwala im łatwiej rejestrować domeny z określonym TDL, lub ponieważ uważają, że reputacja konkretnej TLD jest lepsza, powiedział.

Jedyną korzyścią wynikającą z wyboru jednej TLD na drugą jest zaufanie "- powiedział. "Czy użytkownicy ufają niektórym TLD bardziej niż innym? Jeśli tak, to mogą być korzyści dla atakujących, którzy wybierają tę TLD. "

Botezatu uważa, że ​​domeny.eu odpowiadają zarówno reputacji, jak i oczekiwaniom ekonomicznym cyberprzestępców.

" Ponieważ domeny UE stały się popularne stosunkowo niedawno, nie są związane z ludzkimi umysłami z nadużyciami ", powiedział. "Ofiary nie spodziewałyby się, że zostaną skrzywdzone, odwiedzając domenę europejską oraz fakt, że spodziewają się, że jej treść będzie po angielsku, w przeciwieństwie do rosyjskich domen TLD, które są znane jako bezpieczna przystań dla cyberprzestępczości, a także dostarczają zlokalizowane, nieczytelne treści dla osób postronnych. "

" Fakt, że domeny.eu mają taką samą cenę jak domeny.com i.info i można je kupować co roku, jest także zaletą dla cyber-oszustów, którzy chcą najtańszych domen na jak najkrótszy czas

Według Howarda EURid, organizacja non-profit, która zarządza TLD.eu na mocy umowy z Komisją Europejską, historycznie podjęła zdecydowane działania w celu ochrony reputacji TLD.

EURid powiedział badaczom Sophos, że rozwiązał problem po otrzymaniu powiadomienia o niedawnym ataku Blackhole, powiedział Howard. Nie jest jednak jasne, czy oznacza to po prostu zawieszenie domen, czy też organizacja dokonała jakichkolwiek zmian, aby uniemożliwić napastnikowi rejestrację nowych, powiedział.

Liczba skarg otrzymanych przez EURid pozostaje bardzo niska, General Manager EURid Marc Van Wesemael powiedział w piątek za pośrednictwem poczty elektronicznej. "Zawsze otrzymywaliśmy skargi i najprawdopodobniej nadal będziemy to robić. Chciałbym jednak podkreślić, że mamy wewnętrzne procedury walki z nadużyciami wobec domeny.eu. "

EURid dokłada wszelkich starań, by przeciwdziałać niewłaściwym rejestracjom domeny.eu i ma zautomatyzowane narzędzia do identyfikowania nadużyć tak wcześnie, jak to możliwe, Powiedział Van Wesemael. "Współpracujemy również ściśle z kilkoma organizacjami zajmującymi się bezpieczeństwem, które dają nam wczesne ostrzeżenia o nadużyciach związanych ze stronami internetowymi / nazwami domeny.eu."

Jednak ponad 95 procent przypadków nadużyć postrzeganych przez EURid obejmuje legalne strony internetowe.eu, które zostały zhackowane i miały Złośliwe oprogramowanie dodaje się do nich, powiedział Van Wesemael. W tych przypadkach likwidacja zainfekowanych stron internetowych nie jest opcją, ponieważ mogą być wykorzystywane przez właścicieli do prowadzenia działalności gospodarczej, powiedział. "EURid informuje odpowiedzialnego rejestratora i / lub rejestrującego o wszelkich znanych incydentach, a następnie dokładamy starań, aż problem zostanie rozwiązany."