Cybercriminals ngày càng lạm dụng .eu trong các cuộc tấn công

Các tên tội phạm mạng đang ngày càng sử dụng tên miền.eu trong các chiến dịch tấn công của họ, theo dữ liệu từ nhiều công ty bảo mật.

“Nhiều tên miền.eu độc hại đã được đăng ký trong tháng 11 đang được sử dụng để lây nhiễm các phần mềm độc hại qua PC Fraser Howard, nhà nghiên cứu virus chính tại nhà cung cấp bảo mật Sophos, trong một bài đăng trên blog vào thứ năm.

Blackhole là một bộ công cụ tấn công dựa trên web sử dụng khai thác lỗ hổng trên trình duyệt như Adobe Reader, Flash Player hoặc Java, để lây nhiễm các máy tính có phần mềm độc hại.

[Đọc thêm: Cách xóa phần mềm độc hại khỏi PC Windows của bạn]

Trong cuộc tấn công mà Sophos thấy, các tội phạm mạng đã lưu trữ lỗ đen của họ các trang tấn công trên các tên miền tìm kiếm ngẫu nhiên với phần mở rộng.eu, tất cả trỏ đến một máy chủ độc hại đã biết nằm ở Cộng hòa Séc.

“Chúng tồn tại trong thời gian ngắn; các tên chỉ giải quyết cho máy chủ mục tiêu trong một thời gian ngắn trước khi những kẻ tấn công chuyển sang kế tiếp, ”Howard nói. "Loại chiến thuật này khá phổ biến, được sử dụng bởi nhiều mối đe dọa trong nỗ lực trốn tránh bộ lọc bảo mật."

Tuy nhiên, thường là các TLD khác (tên miền cấp cao) bị lạm dụng trong các cuộc tấn công đó, chứ không phải.eu, Howard nói.

Sophos không thể cung cấp ngay thông tin về số lượng các cuộc tấn công trong năm nay bao gồm các URL.eu độc hại, nhưng theo dữ liệu từ nhà cung cấp phần mềm chống virus Bitdefender, mức độ lạm dụng trong không gian tên miền.eu đang tăng lên.

“ Trong nửa cuối năm 2012, chúng tôi thấy hoạt động độc hại gia tăng trên.eu TLD, ”Bogdan Botezatu, một nhà phân tích đe dọa điện tử cao cấp tại Bitdefender, cho biết hôm thứ Sáu qua email. "So với nửa đầu năm nay, số lượng tên miền.eu độc hại tăng gần gấp ba lần, từ 0,53% của tất cả các sự cố bảo mật liên quan đến TLDs lên 1,38%."

Trong nửa đầu năm nay,.eu là thứ 11 Botezatu cho biết tên miền cấp cao nhất thường xuyên bị lạm dụng. "Bây giờ nó đứng thứ tám." Tên miền Nga,.com và.info vẫn giữ tỷ lệ lạm dụng của sư tử.

"Chúng tôi xác nhận xu hướng.in cũng như tên miền.eu thường được sử dụng để lưu trữ các trang web độc hại và chiến dịch spam ", Một đại diện của nhà cung cấp phần mềm chống virus Kaspersky Lab cho biết hôm thứ Sáu trong một tuyên bố gửi qua email. “Cả hai loại miền đều nằm trong danh sách 15 tên miền quốc gia hàng đầu của các trang web độc hại. Ngoài ra cần lưu ý rằng tên lửa HLUX (aka Kelihos) khét tiếng sử dụng nhiều tên miền.eu. ”

Những kẻ tấn công thường thích di chuyển xung quanh, Howard cho biết hôm thứ Sáu qua email. Lý do duy nhất tại sao họ chọn một TLD hơn một TLD khác là vì họ tìm thấy một nhà cung cấp miền cho phép họ đăng ký tên miền theo một TDL cụ thể dễ dàng hơn hoặc bởi vì họ tin rằng danh tiếng của TLD là tốt hơn, ông nói. chỉ có lợi ích thực sự của việc lựa chọn một TLD hơn một TLD khác là niềm tin, ”ông nói. “Người dùng có tin tưởng một số TLD nhiều hơn những người khác không? Nếu vậy, thì có thể có lợi thế cho những kẻ tấn công chọn TLD đó. ”

Botezatu tin rằng tên miền.eu đáp ứng cả danh tiếng và kỳ vọng kinh tế của tội phạm mạng.

“ Vì tên miền của EU đã trở nên phổ biến tương đối gần đây, chúng không liên quan đến tâm trí của người dân với sự lạm dụng, ”ông nói. "Nạn nhân sẽ không bị tổn hại khi ghé thăm một tên miền châu Âu, cộng với thực tế là họ mong đợi nội dung của nó bằng tiếng Anh, không giống như TLD của Nga, được biết đến là một cảng an toàn cho tội phạm mạng và nội dung không đọc được cho người ngoài. ”

“ Thực tế là các miền.eu có giá giống như tên miền.com và.info và có thể được mua hàng năm cũng là một lợi thế cho những kẻ lừa đảo trực tuyến, những người muốn các miền rẻ nhất trong khoảng thời gian ngắn nhất Theo Howard, EURID, tổ chức phi lợi nhuận quản lý.eu TLD theo hợp đồng với Ủy ban châu Âu, đã lịch sử thực hiện hành động quyết định để bảo vệ danh tiếng của TLD.

EURID nói với các nhà nghiên cứu Sophos rằng họ đã giải quyết vấn đề này sau khi được thông báo về vụ tấn công Blackhole gần đây, Howard nói. Tuy nhiên, nó không rõ ràng nếu điều đó chỉ đơn giản có nghĩa là các lĩnh vực đã bị đình chỉ hoặc nếu tổ chức thực hiện bất kỳ thay đổi nào để ngăn chặn kẻ tấn công đăng ký những cái mới, ông ta nói.

Số lượng khiếu nại nhận được bởi EURID vẫn rất thấp. Van Wesemael cho biết hôm thứ Sáu qua email. “Chúng tôi luôn nhận được một số khiếu nại và rất có thể sẽ tiếp tục làm như vậy. Tuy nhiên, tôi muốn nhấn mạnh rằng chúng tôi có các thủ tục nội bộ để chống lại sự lạm dụng.eu. ”

EURid đặt rất nhiều nỗ lực chống lại việc đăng ký tên miền.eu và có các công cụ tự động để xác định lạm dụng càng sớm càng tốt, Van Wesemael nói. "Chúng tôi cũng làm việc chặt chẽ với một số tổ chức an ninh đã cho chúng tôi cảnh báo sớm về hành vi lạm dụng liên quan đến các trang web / tên miền.eu".

Tuy nhiên, hơn 95% trường hợp lạm dụng được EURid nhìn thấy liên quan đến các trang web hợp pháp.eu đã bị tấn công và có phần mềm độc hại được chèn vào chúng, Van Wesemael nói. Trong những trường hợp lấy xuống các trang web bị nhiễm bệnh không phải là một lựa chọn bởi vì họ có thể được sử dụng bởi chủ sở hữu của họ cho doanh nghiệp của họ, ông nói. “EURID thông báo cho nhà đăng ký có trách nhiệm và / hoặc người đăng ký về bất kỳ sự cố đã biết nào và sau đó chúng tôi sẽ theo dõi sát cho đến khi vấn đề được giải quyết.”