Cyber-kriminálníci stále více zneužívají domény .eu při útoku

Cybercriminals stále více používají doménová jména.eu v jejich útokových kampaních, podle údajů od různých bezpečnostních společností.

"V listopadu bylo zaznamenáno mnoho škodlivých domén.eu, které se používají k infikování počítačů malwarem Blackhole exploit kit ", řekl Fraser Howard, hlavní výzkumník virů u bezpečnostního dodavatele Sophos, ve blogovém příspěvku ve čtvrtek.

Blackhole je webový nástroj pro útok, který využívá zneužití pro zranitelná místa v zásuvných modulech prohlížeče, jako je Adobe Reader, Flash Player nebo Java, aby nakažili počítače škodlivým softwarem.

[Další informace: Jak odstranit malware z počítače se systémem Windows]

V útoku, který Sophos viděl, útoky na náhodně vypadající doménová jména s příponou.eu, což vše ukazuje na známý škodlivý server umístěný v České republice.

"Jsou krátkodobé; jména se vyřeší pouze na cílový server na krátkou dobu, než se útočníci přesunou na další, "řekl Howard. "Tento typ taktiky je poměrně častý a využívá mnoho ohrožení při pokusu o vynechání filtrování zabezpečení."

Nicméně, obvykle se jedná o jiné TLD (domény nejvyšší úrovně), které se při takových útokech zneužívají, ne.eu, řekl Howard.

Sophos nemohl okamžitě poskytnout informace o počtu útoků zaznamenaných v tomto roce, které obsahovaly škodlivé adresy URL.eu, ale podle údajů od dodavatele antivirového programu Bitdefender se úroveň zneužívání v doméně domény.eu zvyšuje

Během druhé poloviny roku 2012 jsme zaznamenali zvýšenou škodlivou aktivitu na.eu TLD, "řekl Bogdan Botezatu, senior analytik společnosti e-threat společnosti Bitdefender. "V porovnání s první polovinou roku se počet škodlivých domén.eu téměř ztrojnásobil, a to z 0,53% všech bezpečnostních incidentů, které zahrnovaly TLD na 1,38%."

V první polovině roku.eu bylo 11. nejčastěji zneužívanou doménu nejvyšší úrovně, řekl Botezatu. "Nyní se jedná o osmou pozici." Ruské domény,.com a.info stále drží leví podíl na zneužívání.

"Potvrzujeme, že doména.in a domény.eu se často používají pro hostování škodlivých webových stránek a spamových kampaní, "Uvedl pátek zástupce antivirového dodavatele Kaspersky Lab v e-mailovém prohlášení. "Oba typy domén se nacházejí v seznamu prvních 15 oblastí zón domén škodlivých stránek. Také by mělo být poznamenáno, že notoricky známý botnet HLUX (alias Kelihos) využíval několik domén.eu. "

Útočníci se obvykle rádi pohybují, řekl Howard v pátek e-mailem. Jediným důvodem, proč si zvolí jeden TLD než jiný, je, že našli poskytovatele domény, který jim umožňuje snadněji zaregistrovat domény pod určitým TDL, nebo proto, že se domnívají, že určitá reputace TLD je lepší, řekl. jen skutečný přínos výběru jednoho TLD nad druhým je důvěra, "řekl. "Uživatelé důvěřují některým TLD více než ostatní? V takovém případě by útočníci, kteří si zvolili TLD, mohli mít výhodu. "

Botezatu věří, že domény.eu splňují jak reputaci, tak ekonomické očekávání kybernetických zločinců.

" Vzhledem k tomu, že domény EU se staly populární relativně nedávno, spojených s lidmi v mozku se zneužíváním, "řekl. "Oběti se neočekávají, že by se dostaly do škody tím, že navštívily evropskou oblast, a že by očekávali, že její obsah bude v angličtině, na rozdíl od ruských TLD, které jsou například bezpečným přístupem k počítačovým trestným činům a také poskytují lokalizované, nečitelný obsah pro outsidery. "

"

Podle Howarda neziskovou organizaci EURid, která spravuje.eu TLD na základě smlouvy s Evropskou komisí, historicky podnikla rozhodující kroky k ochraně pověsti TLD

.EURid uvedl vědcům společnosti Sophos, že tuto záležitost vyřešil poté, co byl informován o tomto nedávném Blackhole útoku, řekl Howard. Nicméně není jasné, zda to jednoduše znamená, že doména byla pozastavena nebo že organizace provedla nějaké změny, aby zabránila útočníkům v registraci nových, uvedl.

Počet stížností obdržených společností EURid zůstává velmi nízký, generální ředitel EURid Marc Van Wesemael uvedl v pátek e-mail. "Vždy jsme dostali nějaké stížnosti a s největší pravděpodobností budeme pokračovat. Chtěla bych však zdůraznit, že máme zavedeny interní postupy k boji proti zneužívání.eu. "

EURid vynakládá velké úsilí na potírání zneužívání registra domén.eu a má automatizované nástroje k identifikaci zneužívání co nejdříve, Řekl Van Wesemael. "Rovněž úzce spolupracujeme s několika bezpečnostními organizacemi, které nám poskytují včasná varování o zneužívání internetových stránek / domén.eu."

Více než 95 procent případů zneužití, které společnost EURid prokazuje, zahrnuje legitimní webové stránky.eu, malware vložený do nich, řekl Van Wesemael. V těch případech, kdy se infikované webové stránky snižují, není možnost, protože by je mohly využít jejich vlastníci pro jejich podnikání, řekl. "Společnost EURid informuje příslušného registrátora a / nebo žadatele o registraci o jakémkoli známém incidentu a poté následuje, až bude problém vyřešen."