Cyberkriminelle misbruger i stigende grad .eu-domæner i angreb

Cyberkriminelle bruger i stigende grad.eu domænenavne i deres angrebskampagner, ifølge data fra flere sikkerhedsfirmaer.

"Talrige ondsindede.eu-domæner er blevet registreret i november, som bruges til at inficere pc'er med malware via Blackhole-udnyttelsessættet ", siger Fraser Howard, hovedvirusforsker hos sikkerhedsleverandøren Sophos, i et blogindlæg på torsdag.

Blackhole er et webbaseret angrebsværktøjssæt, der bruger udnyttelse af sårbarheder i browserprogrammer som Adobe Reader, Flash Player eller Java for at inficere computere med malware.

[Yderligere læsning: Sådan fjerner du malware fra din Windows-pc]

I angrebet set af Sophos hostede cyberkriminelle deres Blackhole angribe sider på tilfældige domænenavne med.eu-udvidelsen, alle peger på en kendt skadelig server placeret i Tjekkiet.

"De er kortvarige; navnene løser kun målserveren i en kort periode, før angriberne går videre til det næste, "sagde Howard. "Denne type taktik er ret almindelig, brugt af mange trusler i deres forsøg på at undgå evt. Sikkerhedsfiltrering."

Det er dog normalt andre topdomæner, der bliver misbrugt i sådanne angreb, ikke.eu, sagde Howard.

Sophos kunne ikke straks give oplysninger om antallet af angreb set i år, der omfattede ondsindede.eu-URL'er, men ifølge data fra antivirusleverandør Bitdefender er niveauet for misbrug i.eu-domæneområdet stigende.

" I anden halvdel af 2012 oplevede vi øget skadelig aktivitet på.eu-topdomænet, sagde Bogdan Botezatu, en senior e-trusselanalytiker hos Bitdefender, fredag ​​via e-mail. "Sammenlignet med første halvdel af året faldt antallet af ondsindede.eu-domæner næsten tredoblet fra 0,53 procent af alle sikkerhedshændelser, der involverede TLD'er til 1,38 procent."

.eu var i det første halvår det 11. -most-ofte misbruget top-level domæne, sagde Botezatu. "Nu står det ottende." Russiske domæner,.com og.info har stadig løverens andel af misbrug.

"Vi bekræfter den tendens, at.in- og.eu-domæner ofte bruges til hosting af ondsindede websteder og spamkampagner, "En repræsentant for antivirusleverandør Kaspersky Lab sagde fredag ​​i en mailet erklæring. "Begge domæetyper er i den øverste 15 liste over nationale domæneregioner af ondsindede websteder. Det skal også bemærkes, at notorisk HLUX (aka Kelihos) botnet brugte flere.eu domæner. "

Attackere plejer at flytte rundt, sagde Howard fredag ​​via email. De eneste grunde til, at de ville vælge et topdomæne over en anden, er fordi de fandt en domæneudbyder, der giver dem mulighed for at registrere domæner under en bestemt TDL lettere, eller fordi de mener, at et bestemt topdomænes omdømme er bedre, sagde han. Kun reel fordel ved at vælge et TLD over en anden er tillid, "sagde han. "Tillader brugerne nogle TLD'er mere end andre? Hvis det er tilfældet, kan der være fordele for angribere, der vælger dette topdomæne. "

Botezatu mener, at.eu-domæner opfylder både cyberkriminals ry og økonomiske forventninger.

" Siden EU-domæner er blevet populært relativt for nylig, er de ikke forbundet med folks sind med misbrug, "sagde han. "Ofre ville ikke forvente at blive skadet ved at besøge et europæisk domæne plus det faktum, at de forventer at indholdet skal være på engelsk, i modsætning til russiske topdomæner for eksempel, der vides at være en sikker havn for cyberkriminalitet og også levere lokaliserede, ulovligt indhold for udenforstående. "

" At de domæner, der er prissat, er de samme som.com og.info-domæner og kan købes årligt, er også en fordel for cyber-crooks, der ønsker de billigste domæner i den korteste periode af tid, siger han.

Ifølge Howard har EURid, den nonprofitorganisation, der forvalter.eu-topdomænet i kontrakt med Europa-Kommissionen, historisk taget truffet afgørende foranstaltninger for at beskytte topdomænetes omdømme.

EURid fortalte Sophos forskere, at det havde løst problemet efter at have fået besked om dette nylige Blackhole-angreb, sagde Howard. Det er imidlertid ikke klart, om det blot betyder, at domænerne blev suspenderet, eller hvis organisationen foretog nogen ændringer for at forhindre angriberne i at registrere nye, sagde han.

Antallet af klager, der blev modtaget af EURid, forbliver meget lave, EURid General Manager Marc Van Wesemael sagde fredag ​​via email. "Vi har altid modtaget nogle klager og vil sandsynligvis fortsætte med at gøre det. Jeg vil imidlertid gerne understrege, at vi har interne procedurer til bekæmpelse af misbrug mod.eu. "

EURid lægger stor vægt på at imødegå misbrug af.eu domæneregistreringer og har automatiske værktøjer til at identificere misbrug så tidligt som muligt, Van Wesemael sagde. "Vi arbejder også tæt sammen med flere sikkerhedsorganisationer, der giver os tidlige advarsler om misbrug vedrørende.eu websites / domænenavne."

Men over 95 procent af misbrugssager, der ses af EURid, involverer legitime.eu-websteder, der er blevet hacket og haft malware indsat i dem, sagde van Wesemael. I disse tilfælde er det ikke en mulighed, at tage ned de inficerede websites, fordi de måske bliver brugt af deres ejere til deres forretning, sagde han. "EURid informerer den ansvarlige registrar og / eller registranten om enhver kendt hændelse, og så følger vi nøje op, indtil problemet er løst."