Cybercriminelen maken steeds vaker misbruik van .eu-domeinen bij aanvallen

Cybercriminelen gebruiken steeds meer.eu-domeinnamen in hun aanvalscampagnes, volgens gegevens van meerdere beveiligingsbedrijven.

"Er zijn in november talloze schadelijke.eu-domeinen geregistreerd die worden gebruikt om pc's met malware te infecteren via de Blackhole exploit-kit, "zei Fraser Howard, de belangrijkste virusonderzoeker bij beveiligingsleverancier Sophos, in een blogpost op donderdag.

Blackhole is een op het web gebaseerde aanvals-toolkit die gebruikmaakt van exploits voor kwetsbaarheden in browserinvoegtoepassingen zoals Adobe Reader, Flash Player of Java, om computers met malware te infecteren.

[Lees meer: ​​Hoe malware van uw Windows-pc te verwijderen]

In de aanval van Sophos hebben cybercriminelen hun Blackhole gehost aanvalspagina's op willekeurig uitziende domeinnamen met de extensie.eu, die allemaal verwijzen naar een bekende kwaadwillende server in de Tsjechische Republiek.

"Ze zijn van korte duur; de namen lossen slechts een korte tijd op aan de doelserver voordat de aanvallers doorgaan naar de volgende ", aldus Howard. "Dit type tactiek komt redelijk vaak voor, gebruikt door vele bedreigingen in hun pogingen om beveiligingsfilters te omzeilen."

Het zijn echter meestal andere TLD's (topleveldomeinen) die misbruikt worden bij dergelijke aanvallen, niet.eu, zei Howard.

Sophos kon niet onmiddellijk informatie verstrekken over het aantal aanvallen dat dit jaar werd gezien met kwaadaardige.eu-URL's, maar volgens gegevens van antivirusleverancier Bitdefender neemt het misbruikniveau in de.eu-domeinruimte toe.

" In de tweede helft van 2012 zagen we verhoogde kwaadwillige activiteit op het.eu-TLD, "zei Bogdan Botezatu, een senior e-threat analyst bij Bitdefender, vrijdag via e-mail. "In vergelijking met de eerste helft van het jaar verdrievoudigde het aantal kwaadwillende.eu-domeinen bijna, van 0,53 procent van alle beveiligingsincidenten met TLD's naar 1,38 procent."

Tijdens de eerste helft van het jaar was.eu de elfde - meest vaak misbruikte top-level domein, zei Botezatu. "Nu staat het op de achtste plaats." Russische domeinen,.com en.info houden nog steeds het leeuwendeel van misbruik in.

"We bevestigen de trend dat. Zowel als.eu-domeinen vaak worden gebruikt voor het hosten van kwaadwillende websites en spam-campagnes., "Zei een vertegenwoordiger van antivirus-leverancier Kaspersky Lab vrijdag in een verklaring per e-mail. "Beide domeintypes staan ​​in de top 15 van nationale domeinzones van kwaadwillende sites. Ook moet worden opgemerkt dat het beruchte HLUX (aka Kelihos) -botnet verschillende.eu-domeinen gebruikte. "

Aanvallers verplaatsen zich gewoonlijk graag, zei Howard vrijdag via e-mail. De enige redenen waarom ze de ene TLD boven de andere zouden kiezen, zijn omdat ze een domeinprovider hebben gevonden die hen toelaat domeinen onder een bepaalde TDL gemakkelijker te registreren of omdat ze denken dat de reputatie van een bepaalde TLD beter is, zei hij.

alleen echt voordeel van het kiezen van een TLD boven een andere is vertrouwen, "zei hij. "Vertrouwen gebruikers sommige TLD's meer dan anderen? Als dat zo is, dan kunnen er voordelen zijn voor aanvallers die dat TLD kiezen. "

Botezatu is van mening dat.eu-domeinen voldoen aan zowel de reputatie als de economische verwachtingen van cybercriminelen. <> Aangezien EU-domeinen relatief recent populair zijn geworden, zijn ze niet geassocieerd in de hoofden van mensen met misbruik, "zei hij. "Slachtoffers zouden niet verwachten dat ze schade zouden ondervinden door een Europees domein te bezoeken, plus het feit dat ze zouden verwachten dat de inhoud ervan in het Engels zou zijn, in tegenstelling tot bijvoorbeeld Russische TLD's, waarvan bekend is dat ze een veilige haven zijn voor cybercriminaliteit en ook gelokaliseerd, onleesbare inhoud voor buitenstaanders. "

" Het feit dat.eu-domeinen hetzelfde geprijsd zijn als.com- en.info-domeinen en jaarlijks kunnen worden gekocht, is ook een voordeel voor cybercriminelen die de goedkoopste domeinen willen voor de kortste periode ", zei hij.

Volgens Howard heeft EURid, de non-profitorganisatie die het.eu-TLD onder contract met de Europese Commissie beheert, in het verleden beslissende maatregelen genomen om de reputatie van de TLD te beschermen.

EURid vertelde de Sophos-onderzoekers dat het probleem was opgelost nadat ze op de hoogte waren gesteld van deze recente Blackhole-aanval, zei Howard. Het is echter niet duidelijk of dat betekent dat de domeinen zijn opgeschort of dat de organisatie wijzigingen heeft aangebracht om te voorkomen dat de aanvallers nieuwe registreren.

Het aantal klachten ontvangen door EURid blijft erg laag, EURid General Manager Marc Van Wesemael zei vrijdag via e-mail. "We hebben altijd wat klachten ontvangen en zullen dit waarschijnlijk blijven doen. Ik wil echter benadrukken dat we interne procedures hebben om misbruik tegen.eu te bestrijden. "

Meer dan 95 procent van de gevallen van misbruik die EURid tegenkomt, betreft legitieme.eu-websites die zijn gehackt en malware is erin ingevoegd, zei Van Wesemael. In die gevallen is het niet mogelijk om de geïnfecteerde websites te verwijderen, omdat ze misschien door hun eigenaren voor hun bedrijf worden gebruikt, zei hij. "EURid informeert de verantwoordelijke registrar en / of de registrant over elk bekend incident en we volgen dit van dichtbij totdat het probleem is opgelost."