I criminali informatici stanno sempre più violando i domini .eu negli attacchi

I criminali informatici utilizzano sempre più nomi di dominio.eu nelle loro campagne di attacco, in base ai dati di più società di sicurezza.

"Numerosi domini.eu sono stati registrati durante il mese di novembre e vengono utilizzati per infettare PC con malware tramite il kit di exploit Blackhole ", ha detto Fraser Howard, principale ricercatore di virus presso il fornitore di sicurezza Sophos, in un post sul blog di giovedì.

Blackhole è un toolkit di attacco basato sul Web che utilizza exploit per vulnerabilità nei plug-in del browser come Adobe Reader, Flash Player o Java, per infettare i computer con malware.

[Ulteriori letture: Come rimuovere malware dal PC Windows]

Nell'attacco visto da Sophos, i criminali informatici hanno ospitato i loro Blackhole pagine di attacco su nomi di domini dall'aspetto casuale con estensione.eu, che puntano tutti a un server malevolo conosciuto situato nella Repubblica Ceca.

"Sono di breve durata; i nomi si risolvono solo sul server di destinazione per un breve periodo prima che gli aggressori passino a quello successivo ", ha affermato Howard. "Questo tipo di tattica è piuttosto comune, utilizzato da molte minacce nei loro tentativi di eludere il filtro di sicurezza."

Tuttavia, di solito sono gli altri TLD (domini di primo livello) che vengono violati in tali attacchi, non.eu, ha detto Howard.

Sophos non ha potuto fornire immediatamente informazioni sul numero di attacchi visti quest'anno che includevano URL maligni.eu, ma secondo i dati del fornitore di antivirus Bitdefender, il livello di abuso nello spazio del dominio.eu è in aumento.

" Durante la seconda metà del 2012 abbiamo assistito a un aumento delle attività dannose sul dominio di primo livello.eu ", ha detto venerdì via e-mail Bogdan Botezatu, analista senior di e-threat su Bitdefender. "Rispetto alla prima metà dell'anno, il numero di domini.eu malevoli è quasi triplicato, dallo 0,53% di tutti gli incidenti di sicurezza che coinvolgono TLD all'1,38%."

Durante la prima metà dell'anno,.eu era l'11 Il dominio di primo livello più frequentemente abusato, ha detto Botezatu. "Ora si classifica all'ottavo posto." Dominio russo,.com e.info detengono ancora la parte del leone degli abusi.

"Confermiamo la tendenza che.in così come i domini.eu vengono spesso utilizzati per ospitare siti Web dannosi e campagne di spam "Un rappresentante del fornitore di antivirus Kaspersky Lab ha dichiarato venerdì in una dichiarazione inviata per posta elettronica. "Entrambi i tipi di dominio sono nella top 15 delle zone di dominio nazionali dei siti dannosi. Va anche notato che la famigerata botnet HLUX (aka Kelihos) utilizzava diversi domini.eu. "

Gli hacker di solito amano muoversi, Howard ha detto venerdì via e-mail. L'unico motivo per cui scegliere un TLD rispetto a un altro è perché hanno trovato un provider di dominio che consente loro di registrare domini con un particolare TDL più facilmente o perché credono che una particolare reputazione del TLD sia migliore, ha detto.

"The "Il vero vantaggio di scegliere un TLD rispetto all'altro è la fiducia", ha affermato. "Gli utenti si fidano di alcuni TLD più di altri? In tal caso, potrebbero esserci vantaggi per gli attaccanti che scelgono il TLD. "

Botezatu ritiene che i domini.eu soddisfino sia la reputazione sia le aspettative economiche dei criminali informatici.

" Poiché i domini europei sono diventati popolari relativamente di recente, non lo sono associato nella mente della gente con l'abuso ", ha detto. "Le vittime non si aspetterebbero di essere danneggiate visitando un dominio europeo, oltre al fatto che si aspetterebbero che i contenuti siano in inglese, a differenza dei TLD russi, ad esempio, che sono noti per essere un porto sicuro per la criminalità informatica e anche per fornire localizzazioni, contenuto illeggibile per gli estranei. "

" Il fatto che i domini.eu abbiano un prezzo uguale ai domini.com e.info e possa essere acquistato annualmente è anche un vantaggio per i cyber-criminali, che vogliono i domini più economici per il periodo più breve di tempo ", ha detto.

Secondo Howard, EURid, l'organizzazione senza scopo di lucro che gestisce il dominio di primo livello.eu sotto contratto con la Commissione europea, ha storicamente intrapreso azioni decisive per proteggere la reputazione del TLD.

EURid ha detto ai ricercatori di Sophos di aver risolto il problema dopo essere stato informato di questo recente attacco Blackhole, ha detto Howard. Tuttavia, non è chiaro se ciò significa semplicemente che i domini sono stati sospesi o se l'organizzazione ha apportato delle modifiche per impedire agli hacker di registrarne di nuovi.

Il numero di reclami ricevuti da EURid rimane molto basso, Direttore Generale di EURid Marc Van Wesemael ha detto venerdì via e-mail. "Abbiamo sempre ricevuto alcune lamentele e molto probabilmente continueremo a farlo. Tuttavia, vorrei sottolineare che disponiamo di procedure interne per combattere gli abusi nei confronti di.eu. "

EURid compie un grande sforzo per contrastare le registrazioni abusive dei domini.eu e ha strumenti automatizzati per identificare gli abusi il prima possibile, Disse Van Wesemael. "Lavoriamo anche a stretto contatto con diverse organizzazioni di sicurezza che ci avvisano in anticipo sugli abusi relativi ai siti web / nomi di dominio.eu"

Tuttavia, oltre il 95 percento dei casi di abuso visti da EURid riguardano siti Web.eu legittimi che sono stati violati e malware inserito in loro, ha detto Van Wesemael. In quei casi la rimozione dei siti Web infetti non è un'opzione perché potrebbero essere utilizzati dai loro proprietari per i loro affari, ha detto. "EURid informa il registrar responsabile e / o il registrante in merito a qualsiasi incidente noto e quindi seguiamo da vicino fino a quando il problema non è stato risolto."