Cybercriminals sve više zloupotrebljavaju .eu domene u napadima

"Cybercriminals sve više koriste nazive domena.eu u svojim napadnim kampanjama, prema podacima višestrukih sigurnosnih tvrtki.

" Tijekom studenog registrirane su brojne zlonamjerne.eu domene koje se koriste za zaraživanje računala sa zlonamjernim softverom putem Blackhole je web-based toolkit napada koji koristi pothvate za ranjivosti u pluginsima preglednika kao što su Adobe Reader, Blackhole eksploatacijski kit, "Blackhole exploit kit", rekao je Fraser Howard, glavni istraživač virusa kod sigurnosnog prodavača Sophosa, Flash Player ili Java, kako bi zarazili računala sa zlonamjernim softverom.

[Daljnje čitanje: Kako ukloniti zlonamjerni softver s vašeg Windows računala]

U napadu kojeg je vidio Sophos, cyber kriminalci su domaćini Blackhole stranice napada na nasumične domene s nastavkom.eu, sve upućujući na poznati zlonamjerni poslužitelj smješten u Češkoj.

"Oni su kratkotrajni; imena se samo rješavaju na ciljni poslužitelj za kratko razdoblje prije nego što napadači prijeđu na sljedeći ", rekao je Howard. "Ova vrsta taktike prilično je uobičajena, a koriste mnoge prijetnje u njihovim pokušajima da izbjegnu sigurnosno filtriranje."

Međutim, obično su drugi TLD (top-level domains) koji se zlostavljaju u takvim napadima, a ne.eu, rekao je Howard.

Sophos nije odmah mogao pružiti informacije o broju napada koji su ove godine zabilježeni kao zlonamjerni URL-ovi.eu, no prema podacima antivirusnog dobavljača Bitdefender, povećava se razina zloupotrebe u.eu domeni.

" Tijekom druge polovice 2012. godine vidjeli smo pojačanu zlonamjernu aktivnost na.eu TLD-u ", izjavio je petak u petak Bogdan Botezatu, analitičar e-prijetnji s Bitdefendera. "U usporedbi s prvom polugodištvom, broj zlonamjernih.eu domena gotovo se utrostručio, od 0,53 posto svih sigurnosnih incidenata s TLD-ovima na 1,38 posto."

Tijekom prve polovice godine,.eu je bio 11. - najčešće - često zlostavljana vršna domenica - rekao je Botezatu. "Sada se nalazi na osmom mjestu." Ruske domene,.com i.info još uvijek imaju najveći dio zloupotrebe.

"Potvrđujemo trend da se.in kao i.eu domene često koriste za hosting malicioznih web stranica i kampanja neželjene pošte, "Izjavio je u petak predstavnik antivirusnog dobavljača Kaspersky Lab u petak. "Obje vrste domena nalaze se u prvih 15 popisa zona nacionalnih domena zlonamjernih web stranica. Također treba napomenuti da je zlonamjerni botux HLUX (aka Kelihos) koristio nekoliko.eu domena. "

Napadači se obično vole kretati, rekao je Howard petkom putem e-pošte. Jedini razlozi zašto bi odabrali jedan TLD nad drugom je zato što su pronašli davatelja domene koji im omogućuje da lakše registriraju domene pod određenim TDL-om ili zato što smatraju da je određeni TLD reputacija bolja, rekao je. samo je stvarna prednost odabira jednog TLD-a nad drugom povjerenje ", kazao je. "Da li korisnici pouzdaju u neke TLD-ove više od drugih? Ako je tako, onda bi moglo biti prednosti za napadače koji biraju tu TLD. "

Botezatu vjeruje da.eu domene ispunjavaju i ugled i ekonomska očekivanja cyber kriminalaca.

" Budući da su europske domene postale popularne relativno nedavno, povezana je s ljudima u zlostavljanju ", rekao je. "Žrtve se ne bi očekivale da će biti zaražene posjećivanjem europskih domena, kao i činjenica da bi njezin sadržaj mogao biti na engleskom jeziku, za razliku od ruskih TLD-a, na primjer, za koje se zna da su sigurna luka za cyber kriminal i također pružaju lokalizirane, nečitak sadržaj za autsajdere. "

" Činjenica da.eu domene imaju cijenu isto kao i.com i.info domene i mogu se kupiti svake godine također je prednost cyber-lopova koji žele najjeftinije domene za najkraći period "Prema Howardovim riječima, EURid, neprofitna organizacija koja upravlja.eu TLD-om na temelju ugovora s Europskom komisijom, povijesno je donijela odlučujuću akciju kako bi zaštitila reputaciju TLD-a.

EURid je istražiteljima Sophosa ispričao kako je riješila problem nakon što je obaviještena o tom novom Blackholeovom napadu, rekao je Howard. Međutim, nije jasno da li to jednostavno znači da su domene obustavljene ili ako je organizacija napravila bilo kakve promjene kako bi spriječila napadače da registriraju nove.

Broj pritužbi koje je primio EURid ostaje vrlo nizak, EURid generalni direktor Marc Van Wesemael je izjavio petak putem e-pošte. "Uvijek smo primili neke pritužbe i najvjerojatnije će to nastaviti. Međutim, želio bih naglasiti da imamo interne procedure za borbu protiv zloupotrebe.eu. "EURid ulaže puno napora u borbu protiv zloupotrebljivih registracija domena.eu i ima automatizirane alate za prepoznavanje zlostavljanja što je ranije moguće, Izjavio je Van Wesemael. "Usko surađujemo i sa nekoliko sigurnosnih organizacija koje nam daju rane upozorenja o zlouporabi.eu web stranica / domena."

Međutim, više od 95 posto slučajeva zloupotrebe koje vidi EURid uključuju legitimne.eu web stranice koje su bile hakirane i imale zlonamjerni softver umetnut u njih, rekao je Van Wesemael. U tim slučajevima zaražene web stranice nisu opcija jer ih vlasnici mogu koristiti za svoje poslovanje, rekao je. "EURid obavještava nadležnog matičara i / ili registraciju o svakom poznatom incidentu, a zatim ćemo pažljivo pratiti dok se problem ne riješi."