Киберпреступники все чаще злоупотребляют доменами .eu в атаках

Киберпреступники все чаще используют доменные имена.eu в своих атакующих кампаниях, согласно данным нескольких охранных компаний.

«В ноябре было зарегистрировано множество вредоносных доменов.eu, которые используются для заражения ПК вредоносным ПО через Блэкхоул », сказал Фрейзер Ховард (Fraser Howard), главный исследователь по вирусам Sophos, в блоге в четверг.

Blackhole - это набор инструментов для веб-атаки, в котором используются уязвимости в браузерах, таких как Adobe Reader, Flash Player или Java, чтобы заразить компьютеры вредоносным ПО.

[Дополнительная информация: Как удалить вредоносное ПО с вашего ПК с Windows]

В атаке, которую Sophos обнаружил, злоумышленники разместили свою Blackhole страницы атаки на случайные имена доменов с расширением.eu, все указывают на известный вредоносный сервер, расположенный в Чешской Республике.

«Они недолговечны; имена разрешаются только целевому серверу в течение короткого периода времени, прежде чем атакующие перейдут к следующему », - сказал Говард. «Такого рода тактика довольно распространена, используется многими угрозами в их попытках уклониться от фильтрации безопасности».

Однако обычно это другие TLD (домены верхнего уровня), которые злоупотребляют в таких атаках, а не.eu, сказал Говард.

Sophos не смог сразу предоставить информацию о количестве атак, обнаруженных в этом году, которые включали вредоносные URL-адреса.eu, но, согласно данным антивирусного поставщика Bitdefender, уровень злоупотреблений в доменном пространстве.eu увеличивается.

" Во второй половине 2012 года мы видели увеличенную злонамеренную активность на TLD.eu », - заявил в пятницу по электронной почте Богдан Ботезату, старший аналитик по электронной угрозе в Bitdefender. «По сравнению с первым полугодием количество вредоносных доменов.eu почти утроилось - с 0,53 процента всех инцидентов безопасности, связанных с TLD, до 1,38 процента».

В течение первой половины года.eu был 11-м - очень часто злоупотреблял домен верхнего уровня, сказал Ботезату. «Сейчас он занимает восьмое место». Российские домены,.com и.info по-прежнему удерживают львиную долю от злоупотребления.

«Мы подтверждаем тенденцию того, что.in так же, как и домены.eu, часто используются для размещения вредоносных веб-сайтов и спам-кампаний, - заявил представитель антивирусной компании «Лаборатория Касперского» в пятницу в заявлении по электронной почте. «Оба типа домена входят в список из 15 национальных доменных зон вредоносных сайтов. Также следует отметить, что пресловутый ботнет HLUX (aka Kelihos) использовал несколько доменов.eu. »

Атакующим обычно нравится передвигаться, сказал Говард в пятницу по электронной почте. Единственные причины, по которым они выбрали один TLD над другим, - это то, что они нашли провайдера домена, который позволяет им регистрировать домены под определенным TDL более легко или потому, что они считают, что репутация конкретного TLD лучше, сказал он.

только реальная выгода от выбора одного ДВУ над другим - это доверие », - сказал он. «Доверяют ли пользователи некоторые ДВУ больше, чем другие? Если это так, тогда потенциальные злоумышленники могут выбрать преимущества для этого TLD ».

Botezatu считает, что.eu-домены соответствуют как репутации, так и экономическим ожиданиям киберпреступников.

« Поскольку домены ЕС стали популярными сравнительно недавно, они не связанных с умами людей со злоупотреблениями », - сказал он. «Жертвы не ожидали бы получить вред, посетив европейский домен, а также тот факт, что они будут ожидать, что его содержимое будет на английском языке, в отличие от российских TLD, например, которые, как известно, являются безопасной гаванью для киберпреступности, а также предоставляют локализованные, неразборчивый контент для аутсайдеров ».

« Тот факт, что.eu-домены оценены так же, как домены.com и.info и могут быть приобретены в год, также является преимуществом для кибер-преступников, которым нужны самые дешевые домены на самый короткий период времени ", сказал он.

По словам Говарда, некоммерческая организация EURid, которая управляет TLD по стандарту.eu по контракту с Европейской комиссией, исторически приняла решительные меры для защиты репутации ДВУ.

Он сказал исследователям Sophos, что он разрешил проблему после того, как ее уведомили об этой недавней атаке Blackhole, сказал Говард. Тем не менее, неясно, просто ли это означает, что домены были приостановлены или если какая-либо организация внесла какие-либо изменения, чтобы предотвратить нахождение злоумышленников от регистрации новых, сказал он.

Количество жалоб, полученных в EURid, остается очень низким, генеральный директор EURid Marc Ван Весемэль сказал в пятницу по электронной почте. «Мы всегда получали некоторые жалобы и, скорее всего, продолжим это делать. Тем не менее, я хотел бы подчеркнуть, что у нас есть внутренние процедуры для борьбы с злоупотреблениями против.eu ».

EURid прилагает большие усилия для противодействия оскорбительной регистрации доменов.eu и имеет автоматические инструменты для выявления злоупотреблений как можно раньше, Сказал Ван Весемэль. «Мы также тесно сотрудничаем с несколькими организациями безопасности, которые дают нам ранние предупреждения о злоупотреблениях в отношении веб-сайтов или доменных имен.»

Однако более 95% случаев злоупотреблений, рассматриваемых EURid, связаны с законными веб-сайтами.eu, которые были взломаны и были вредоносное ПО, вставленное в них, сказал Ван Весемэль. В этих случаях удаление зараженных сайтов не является вариантом, поскольку они могут использоваться их владельцами для их бизнеса, сказал он. «EURid информирует ответственного регистратора и / или регистратора о любом известном инциденте, а затем мы внимательно следим, пока проблема не будет решена».