Cyberkriminelle misbruker stadig .eu-domener i angrep

Cyberkriminelle bruker i økende grad.eu domenenavn i sine angrepskampanjer, ifølge data fra flere sikkerhetsselskaper.

"Mange skadelige.eu-domener er registrert i løpet av november, som brukes til å infisere PCer med skadelig programvare via Blackhole-utnyttelsessettet, "sa Fraser Howard, ansvarlig virusforsker hos sikkerhetsleverandøren Sophos, i et blogginnlegg på torsdag.

Blackhole er et nettbasert angrepssett som bruker utnyttelser for sikkerhetsproblemer i nettleser-plugin-moduler som Adobe Reader, Flash Player eller Java, for å infisere datamaskiner med skadelig programvare.

[Videre lesing: Slik fjerner du skadelig programvare fra din Windows-PC]

I angrepet sett av Sophos, hostet cyberkriminelle deres Blackhole angrepssider på tilfeldige domenenavn med.eu-utvidelsen, som alle peker mot en kjent skadelig server som ligger i Tsjekkia.

"De er kortvarige; navnene løser bare til målserveren i en kort periode før angriperne går videre til neste, sa Howard. "Denne typen taktikk er ganske vanlig, brukt av mange trusler i deres forsøk på å unngå evigvaringsfiltrering."

Det er imidlertid vanligvis andre TLDer (toppnivå domener) som blir misbrukt i slike angrep, ikke.eu, sa Howard.

Sophos kunne ikke umiddelbart gi opplysninger om antall angrep som ble sett i år, som inneholdt ondsinnede.eu-nettadresser, men ifølge data fra antivirusleverandøren Bitdefender øker nivået av misbruk i.eu-domeneområdet.

" I løpet av andre halvår 2012 så vi økt ondsinnet aktivitet på.eu-toppdomænet, sa Bogdan Botezatu, en senior e-trussel analytiker på Bitdefender, fredag ​​via e-post. "Sammenlignet med første halvår, økte antallet skadelige.eu-domener nesten, fra 0,53 prosent av alle sikkerhetshendelser som omfattet TLD til 1,38 prosent."

I løpet av første halvår var.eu den 11. -Most-ofte misbrukte toppnivådomene, sa Botezatu. "Nå står det åttende." Russiske domener,.com og.info holder fortsatt løvenes andel av misbruk.

"Vi bekrefter trenden som.in og.eu-domenene ofte brukes til å hoste ondsinnede nettsteder og spamkampanjer, Sier en representant for antivirusleverandøren Kaspersky Lab fredag ​​i en e-postmelding. "Begge domenetypene er i topp 15-listen over nasjonale domene soner av ondsinnede nettsteder. Det skal også bemerkes at notorisk HLUX (aka Kelihos) botnet brukte flere.eu-domener. "

Angripere pleier å flytte rundt, sa Howard fredag ​​via e-post. De eneste grunnene til at de ville velge et toppdomæne over en annen, er fordi de fant en domeneleverandør som lar dem registrere domener under en bestemt TDL lettere eller fordi de tror at et bestemt toppdoms omdømme er bedre, sa han. bare ekte fordel med å velge ett toppdomen over en annen er tillit, "sa han. "Støtter brukerne flere TLDer mer enn andre? I så fall kan det være fordeler for angriperne å velge det toppdomenet. "

Botezatu mener at.eu-domener møter både omdømmet og økonomiske forventninger til cyberkriminelle.

" Siden EU-domener har blitt populære relativt nylig, er de ikke knyttet i folks sinn med misbruk, "sa han. "Ofre ville ikke forvente å bli skadet ved å besøke et europeisk domene, pluss det faktum at de ville forvente at innholdet skulle være på engelsk, i motsetning til russiske toppdommer for eksempel, som er kjent for å være en sikker havn for nettkriminalitet og også levere lokalisert, ulovlig innhold for utenforstående. "

" Det faktum at.eu-domener er priset samme som.com og.info-domener, og som kan kjøpes årlig, er også en fordel for cyber-crooks, som vil ha de billigste domenene for kortest tid av tiden, sier han.

Ifølge Howard, EURid, har organisasjonen for ideelle organisasjoner som styrer.eu-toppdomænet i kontrakt med EU-kommisjonen historisk tatt avgjørende tiltak for å beskytte omdømmet til toppdomænet.

EURid fortalte Sophos forskere at det hadde løst problemet etter å ha blitt varslet om dette siste Blackhole-angrepet, sa Howard. Det er imidlertid ikke klart om det bare betyr at domenene ble suspendert, eller hvis organisasjonen gjorde noen endringer for å forhindre angriperne i å registrere nye, sa han.

Antall klager mottatt av EURid er fortsatt svært lav, EURid General Manager Marc Van Wesemael sa fredag ​​via e-post. "Vi har alltid fått noen klager og vil mest sannsynlig fortsette å gjøre det. Imidlertid vil jeg understreke at vi har interne prosedyrer for å bekjempe misbruk mot.eu. "

EURid legger stor vekt på å motvirke misbruk av.eu-domeneregister og har automatiserte verktøy for å identifisere misbruk så tidlig som mulig, Van Wesemael sa. "Vi jobber også tett med flere sikkerhetsorganisasjoner som gir oss tidlige advarsler om brudd på.eu nettsteder / domenenavn."

Men over 95 prosent av misbrukstilfeller som er sett av EURid, involverer legitime.eu nettsteder som har blitt hacket og hatt malware satt inn i dem, sa van Wesemael. I de tilfellene å ta ned de infiserte nettstedene er ikke et alternativ fordi de kan bli brukt av eierne for sin virksomhet, sa han. "EURid informerer den ansvarlige registratoren og / eller registranten om en kjent hendelse, og vi følger opp nøye til problemet er løst."