Os cibercriminosos utilizam cada vez mais os domínios .eu nos ataques

Os cibercriminosos estão usando cada vez mais nomes de domínio.eu em suas campanhas de ataque, de acordo com dados de várias empresas de segurança.

“Numerosos domínios.eu maliciosos foram registrados em novembro e estão sendo usados ​​para infectar PCs com malware via O Blackhole é um kit de ferramentas de ataque baseado na Web que usa exploits para vulnerabilidades em plug-ins de navegador como o Adobe Reader, e é um recurso de exploração da Blackhole. Flash Player ou Java, para infectar computadores com malware.

[Leitura adicional: Como remover malware do seu PC com Windows]

No ataque visto pela Sophos, os cibercriminosos hospedaram seu Blackhole ataque páginas em nomes de domínio com aparência aleatória com a extensão.eu, todas apontando para um servidor malicioso conhecido localizado na República Tcheca.

“Eles são de curta duração; os nomes só são resolvidos para o servidor de destino por um breve período antes que os invasores passem para o próximo ”, disse Howard. “Esse tipo de tática é bastante comum, usado por muitas ameaças em suas tentativas de burlar a filtragem de segurança.”

No entanto, normalmente são outros TLDs (domínios de primeiro nível) que são abusados ​​em tais ataques, não.eu, disse Howard.

A Sophos não conseguiu fornecer imediatamente informações sobre o número de ataques deste ano que incluíam URLs.eu maliciosas, mas, de acordo com dados do fornecedor de antivírus Bitdefender, o nível de abuso no domínio do domínio.eu está a aumentar.

“ Durante o segundo semestre de 2012, assistimos a um aumento da atividade maliciosa no TLD.eu ”, afirmou Bogdan Botezatu, analista sénior de ameaças eletrônicas da Bitdefender, sexta-feira por e-mail. “Em comparação com o primeiro semestre do ano, o número de domínios.eu maliciosos quase triplicou, de 0,53% de todos os incidentes de segurança envolvendo TLDs para 1,38%.”

Durante o primeiro semestre do ano, o.eu foi o 11º. -mais-frequentemente-abusado domínio de nível superior, Botezatu disse. "Agora, ocupa a oitava posição." Os domínios russos,.com e.info ainda detêm a maior parte do abuso.

“Confirmamos a tendência de que os domínios.eu e frequentemente são usados ​​para hospedar sites maliciosos e campanhas de spam. ”, Disse um representante do fornecedor de antivírus da Kaspersky Lab, em comunicado enviado por email. “Ambos os tipos de domínio estão na lista dos 15 principais zonas de domínio nacional de sites maliciosos. Também deve ser notado que a notória rede de bots HLUX (aka Kelihos) usava vários domínios.eu.

Os atacantes geralmente gostam de se movimentar, disse Howard por e-mail. As únicas razões pelas quais escolheriam um TLD em detrimento de outro é porque encontraram um provedor de domínio que permite registrar domínios sob um determinado TDL com mais facilidade ou porque acreditam que a reputação de um determinado TLD é melhor, disse ele. só o benefício real de escolher um TLD sobre outro é a confiança ”, disse ele. “Os usuários confiam em alguns TLDs mais do que outros? Se assim for, poderá haver vantagens para os invasores que escolherem esse TLD. ”

Botezatu acredita que os domínios.eu atendem à reputação e às expectativas econômicas dos cibercriminosos.

“ Como os domínios da UE se tornaram populares há relativamente pouco tempo, eles não associado na mente das pessoas com abuso ”, disse ele. “As vítimas não esperariam ser prejudicadas ao visitar um domínio europeu, além do fato de que esperariam que seu conteúdo estivesse em inglês, ao contrário dos TLDs russos, por exemplo, que são conhecidos por serem um porto seguro para crimes cibernéticos e também fornecem conteúdo ilegível para pessoas de fora. ”

“ O facto de os domínios.eu terem o mesmo preço dos domínios.com e.info e poderem ser adquiridos anualmente é também uma vantagem para os ciber-criminosos, que querem os domínios mais baratos durante o período mais curto. De acordo com Howard, a EURid, organização sem fins lucrativos que administra o TLD.eu sob contrato com a Comissão Européia, tem historicamente tomado medidas decisivas para proteger a reputação do TLD.

A EURid disse aos pesquisadores da Sophos que resolveu o problema depois de ser notificado sobre esse recente ataque de Blackhole, disse Howard. No entanto, não está claro se isso significa simplesmente que os domínios foram suspensos ou se a organização fez alguma alteração para impedir que os invasores registrem novos, disse ele.

O número de reclamações recebidas pelo EURid continua muito baixo. Van Wesemael disse sexta-feira via e-mail. “Sempre recebemos algumas reclamações e provavelmente continuaremos a fazê-lo. No entanto, gostaria de salientar que temos procedimentos internos para combater os abusos contra o.eu. ”

A EURid esforça-se por combater registos abusivos de domínios.eu e dispõe de ferramentas automatizadas para identificar abusos o mais cedo possível. Van Wesemael disse. “Também trabalhamos em estreita colaboração com várias organizações de segurança que nos alertam precocemente sobre abusos relativos a websites / nomes de domínio.eu.

No entanto, mais de 95% dos casos de abuso vistos pela EURid envolvem websites legítimos.eu que foram invadidos e malware inserido neles, disse Van Wesemael. Nesses casos, derrubar os sites infectados não é uma opção, porque eles podem ser usados ​​por seus proprietários para seus negócios, disse ele. “A EURid informa o registrador responsável e / ou o registrante sobre qualquer incidente conhecido e, em seguida, acompanhamos atentamente até que o problema seja resolvido.”