Cyberkriminelle missbrauchen zunehmend .eu Domains bei Angriffen

Cyberkriminelle verwenden in ihren Angriffskampagnen zunehmend.eu Domains, so Daten mehrerer Sicherheitsunternehmen.

"Im November wurden zahlreiche bösartige.eu-Domains registriert, über die PCs mit Malware infiziert werden Das Blackhole-Exploit-Kit ", sagte Fraser Howard, leitender Virenforscher beim Sicherheitsanbieter Sophos, in einem Blogbeitrag am Donnerstag.

Blackhole ist ein webbasiertes Angriffstoolkit, das Exploits auf Schwachstellen in Browser-Plugins wie Adobe Reader, Flash Player oder Java, um Computer mit Malware zu infizieren.

[Weiterführende Literatur: So entfernen Sie Malware von Ihrem Windows-PC]

Bei dem Angriff von Sophos haben Cyberkriminelle ihr Blackhole gehostet greifen Seiten auf zufällig aussehende Domainnamen mit der Erweiterung.eu an, die alle auf einen bekannten bösartigen Server in der Tschechischen Republik verweisen.

"Sie sind kurzlebig; Die Namen werden nur für kurze Zeit auf dem Zielserver aufgelöst, bevor die Angreifer zum nächsten übergehen ", sagte Howard. "Diese Art von Taktik ist ziemlich üblich und wird von vielen Bedrohungen bei ihren Versuchen benutzt, Sicherheitsfilterung zu umgehen."

Allerdings werden normalerweise andere TLDs (Top Level Domains) bei solchen Angriffen missbraucht, nicht.eu, sagte Howard.

Sophos konnte nicht sofort Informationen über die Anzahl der in diesem Jahr aufgetretenen Angriffe bereitstellen, die bösartige.eu-URLs enthielten, aber laut den Daten des Antiviren-Anbieters Bitdefender nimmt der Missbrauch im.eu-Domänenbereich zu.

" In der zweiten Jahreshälfte 2012 gab es vermehrt bösartige Aktivitäten auf der.eu-TLD ", sagte Bogdan Botezatu, ein Senior-E-Threat-Analyst bei Bitdefender, am Freitag per E-Mail. "Im Vergleich zur ersten Jahreshälfte hat sich die Anzahl bösartiger.eu Domains fast verdreifacht, von 0,53 Prozent aller Sicherheitsvorfälle mit TLDs auf 1,38 Prozent."

.eu war in der ersten Jahreshälfte der elfte - die am häufigsten missbrauchte Top-Level-Domain, sagte Botezatu. "Jetzt steht es an achter Stelle." Russische Domains,.com und.info halten immer noch den Löwenanteil des Missbrauchs.

"Wir bestätigen den Trend, dass.in und.eu Domains häufig zum Hosten von bösartigen Websites und Spam-Kampagnen verwendet werden, Sagte ein Vertreter des Antivirus-Herstellers Kaspersky Lab am Freitag in einer E-Mail-Nachricht. "Beide Domain-Typen befinden sich in der Top-15-Liste der nationalen Domain-Zonen bösartiger Websites. Es sollte auch beachtet werden, dass das berüchtigte HLUX (alias Kelihos) Botnet mehrere.eu-Domains verwendet. "

Angreifer bewegen sich normalerweise gern, sagte Howard am Freitag per E-Mail. Die einzigen Gründe, warum sie eine TLD gegenüber einer anderen wählen würden, sind, dass sie einen Domain-Provider gefunden haben, der ihnen die Registrierung von Domains unter einer bestimmten TDL erleichtert oder weil sie glauben, dass der Ruf einer bestimmten TLD besser ist, sagte er Der einzige Vorteil einer TLD gegenüber einem anderen ist das Vertrauen ", sagte er. "Trauen Nutzer einigen TLDs mehr als anderen? Wenn dies der Fall ist, kann es für Angreifer Vorteile bringen, diese TLD zu wählen. "

Botezatu glaubt, dass.eu Domains sowohl die Reputation als auch die wirtschaftlichen Erwartungen von Cyberkriminellen erfüllen.

" Da EU-Domains relativ populär geworden sind, sind sie es nicht in den Köpfen der Menschen mit Missbrauch verbunden ", sagte er. "Die Opfer würden nicht erwarten, durch den Besuch einer europäischen Domain geschädigt zu werden, zusätzlich zu der Tatsache, dass sie erwarten würden, dass ihre Inhalte auf Englisch sind, im Gegensatz zu russischen TLDs, die als sicherer Ort für Cyberkriminalität bekannt sind und auch lokalisierte, unleserlicher Inhalt für Außenstehende. "

" Die Tatsache, dass.eu-Domains genauso wie.com und.info Domains kosten und jährlich gekauft werden können, ist auch ein Vorteil für Cyber-Gauner, die die billigsten Domains für den kürzesten Zeitraum suchen der Zeit ", sagte er.

Laut Howard hat EURid, die gemeinnützige Organisation, die die TLD.eu im Auftrag der Europäischen Kommission verwaltet, in der Vergangenheit entschieden gehandelt, um den Ruf der TLD zu schützen.

EURid sagte den Sophos-Forschern, dass es das Problem gelöst habe, nachdem es über diesen jüngsten Blackhole-Angriff informiert wurde, sagte Howard. Es ist jedoch nicht klar, ob das einfach bedeutet, dass die Domains gesperrt wurden oder ob die Organisation Änderungen vorgenommen hat, um zu verhindern, dass die Angreifer neue registrieren.

Die Anzahl der bei EURid eingehenden Beschwerden ist weiterhin sehr gering, EURid General Manager Marc Van Wesemael sagte Freitag per E-Mail. "Wir haben immer Beschwerden erhalten und werden dies wahrscheinlich auch weiterhin tun. Ich möchte jedoch betonen, dass wir interne Verfahren zur Bekämpfung von Missbrauch gegen.eu haben. "

EURid setzt sich intensiv für die Bekämpfung missbräuchlicher Registrierungen von.eu-Domains ein und verfügt über automatisierte Tools, um Missbrauch so früh wie möglich zu erkennen. Van Wesemael sagte. "Wir arbeiten auch eng mit mehreren Sicherheitsorganisationen zusammen, die uns frühzeitig vor Missbräuchen von.eu-Websites / Domainnamen warnen."

Über 95 Prozent der Missbrauchsfälle von EURid betreffen legitime.eu-Websites, die gehackt wurden und hatten Malware, die in sie eingefügt wurde, sagte Van Wesemael. In diesen Fällen ist die Entfernung der infizierten Webseiten keine Option, da sie von ihren Besitzern für ihr Geschäft genutzt werden könnten, sagte er. "EURid informiert den zuständigen Registrar und / oder den Registranten über einen bekannten Vorfall, und dann folgen wir genau, bis das Problem gelöst ist."