Cyberkriminella missbrukar allt fler .eu-domäner i attacker

Cyberkriminella använder i allt högre grad.eu-domännamn i sina attackkampanjer, enligt uppgifter från flera säkerhetsföretag.

"Många skadliga.eu-domäner har registrerats under november som används för att infektera datorer med skadlig kod via Blackhole exploit kit ", säger Fraser Howard, ansvarig virusforskare hos säkerhetsleverantören Sophos, i ett bloggpost på torsdagen.

Blackhole är en webbaserad attackverktygssats som använder exploater för sårbarheter i pluginprogram för webbläsare som Adobe Reader, Flash Player eller Java, för att infektera datorer med skadlig kod.

[Ytterligare läsning: Så här tar du bort skadlig kod från din Windows-dator]

I attacken som ses av Sophos värd cyberkriminella deras Blackhole attack-sidor på slumpmässiga domännamn med.eu-tillägget, alla pekar på en känd skadlig server i Tjeckien.

"De är kortlivade; namnen löser bara till målservern i en kort period innan attackerna går vidare till nästa, sade Howard. "Denna typ av taktik är ganska vanligt, används av många hot i deras försök att undvika säkerhetsfiltrering." Men det är vanligtvis andra toppdomäner som missbrukas i sådana attacker, inte.eu, sa Howard.

Sophos kunde inte omedelbart ge information om antalet attacker i år som innehöll skadliga.eu-webbadresser, men enligt uppgifter från antivirusleverantören Bitdefender ökar nivån av missbruk i.eu-domänutrymmet.

" Under andra halvåret 2012 såg vi ökad skadlig aktivitet på.eu-toppdomänen, säger Bogdan Botezatu, en äldre e-hotanalytiker vid Bitdefender, på fredag ​​via e-post. "Jämfört med årets första hälft tredubblades antalet skadliga.eu-domäner nästan från 0,53 procent av alla säkerhetsincidenter som involverade toppdomäner till 1,38 procent."

Under årets första hälft var.eu den 11: e -most ofta missbrukade toppdomänen, sade Botezatu. "Nu rankar den åttonde." Ryska domäner,.com och.info håller fortfarande lejonens andel av missbruk.

"Vi bekräftar den trend som.eu och.eu-domänerna ofta används för att hosta skadliga webbplatser och spamkampanjer, Säger en representant för antivirusleverantör Kaspersky Lab fredag ​​i ett mailat uttalande. "Båda domäntyperna finns i topp 15-listan över nationella domänområden av skadliga webbplatser. Det bör också noteras att notorisk HLUX (aka Kelihos) botnet använde flera.eu-domäner. "

Attackare brukar vilja flytta runt, sa Howard fredag ​​via e-post. De enda anledningarna till att de skulle välja ett toppdomän över en annan är att de hittade en domänleverantör som gör det möjligt för dem att registrera domäner under en viss TDL lättare eller för att de tror att en viss toppdomäns rykte är bättre, säger han. bara verklig fördel med att välja ett toppdomän över en annan är förtroende ", sa han. "Lita användare på vissa TLD mer än andra? Om så är fallet kan det vara fördelar för angripare som väljer den här toppdomänen. "

Botezatu anser att.eu-domänerna uppfyller både cyberkriminals rykte och ekonomiska förväntningar.

" Eftersom EU-domäner har blivit populära relativt nyligen, är de inte associerad i människors sinnen med missbruk ", sa han. "Offren skulle inte förvänta sig att bli skadad genom att besöka en europeisk domän samt att de skulle förvänta sig att innehållet skulle vara på engelska, till skillnad från ryska toppdomäner som till exempel är en säker hamn för cyberbrottslighet och även leverera lokaliserade, oläsbart innehåll för outsidare. "

" Det faktum att.eu-domäner prissätts på samma sätt som.com och.info-domäner och kan köpas årligen är också en fördel för cyber-crooks som vill ha de billigaste domänerna för kortast möjliga tid av tiden, säger han.

Enligt Howard har EURid, den ideella organisationen som hanterar toppdomänen.eu i kontrakt med Europeiska kommissionen, historiskt tagit beslutsamma åtgärder för att skydda toppdomänens rykte.

EURid berättade för Sophos forskare att det hade löst problemet efter att ha blivit meddelat om den här senaste Blackhole-attacken, sa Howard. Det är emellertid inte klart om det bara betyder att domänerna avbröts eller om organisationen gjorde några förändringar för att förhindra att angriparna registrerade nya.

Antalet klagomål som mottagits av EURid är fortfarande mycket låga, EURid General Manager Marc Van Wesemael sa fredag ​​via e-post. "Vi har alltid fått några klagomål och kommer sannolikt att fortsätta att göra det. Jag vill emellertid betona att vi har interna rutiner för att bekämpa missbruk mot.eu. "

EURid lägger stor vikt vid att motverka missbruk av.eu-domänregistreringar och har automatiserade verktyg för att identifiera missbruk så tidigt som möjligt, Van Wesemael sa. "Vi arbetar också nära med flera säkerhetsorganisationer som ger oss tidiga varningar om missbruk avseende.eu-webbplatser / domännamn."

Men över 95 procent av övergreppssaker som EURid anser innebära legitima.eu-webbplatser som har hackats och haft malware in i dem, sade van Wesemael. I sådana fall är det inte ett alternativ att ta ner de infekterade webbplatserna eftersom de kan användas av sina ägare för sin verksamhet, sade han. "EURid informerar den ansvarige registraren och / eller registranten om någon känd incident och sedan följer vi upp noga tills problemet har lösts."