Computerworld News Service: Datakriminelle gør i stigende omfang brug af .eu-domæner i deres angrebskampagner, viser data fra flere leverandører af it-sikkerhedsprodukter.
"I november er der blevet registreret mange skadelige .eu-domæner, som misbruges til at inficere pc'er med malware via angrebsværktøjet Blackhole," advarer Fraser Howard, der er ledende virusanalytiker hos sikkerhedsleverandøren Sophos, i et blogindlæg torsdag.
Blackhole er et webbaseret angrebsværktøj, der anvender forskellige exploits af sårbarheder i browser-udvidelser såsom Adobe Reader, Flash Player eller Java til at inficere computere med malware.
I et angreb, observeret af Sophos, havde datakriminelle deres Blackhole-angrebssider liggende på hvad, der så ud til at være tilfældige domæner, der alle endte med topdomænet .eu, og som alle pegede på en kendt skadelig server fysisk placeret i Tjekkiet.
Har kort liv
"Domænerne er kortlevede. De peger kun på en given server i en kort periode, før angriberne bevæger sig videre," forklarer Howard. "Denne taktik er ret almindelig og har til formål at undgå sikkerhedsfiltre."
Det er dog som regel andre toplevel-domæner end .eu, der misbruges i sådanne angreb, påpeger Howard.
Sophos kunne ikke umiddelbart oplyse nærmere om antallet af angreb i år, der gør brug for skadelige .eu-domæner, men ifølge data fra antivirussoftware-producenten Bitdefender er misbruget af .eu-topdomænet stigende.
"I løbet af andet halvår af 2012 har vi set stigende skadelig aktivitet på toplevel-domænet .eu," oplyser Bogdan Botezatu, der er senioranalytiker af e-trusler hos Bitdefender, fredag via e-mail.
"Sammenlignet med første halvår er antallet af skadelige .eu-domæner næsten tredoblet fra 0,53 procent af alle sikkerhedshændelser, der involverer TLD'er, til 1,38 procent."
I årets første seks måneder var .eu ifølge Botezatu det 11. mest misbrugte toplevel-domæne.
"Nu ligger det nummer otte." Det er stadig russiske domæner, .com og .info, der misbruges mest.
"Vi kan bekræfte den tendens, at .in- og .eu-domæner ofte bruges til at hoste skadelige websteder og spamkampagner," udtaler en repræsentant fra producenten af antivirussoftware Kaspersky Lab via e-mail.
"Begge topdomæner er blandt de 15 nationale domænezoner, der misbruges mest til skadelige websteder. Det bør også bemærkes, at det notoriske botnet HLUX (også kaldet Kelihos) brugte adskillige .eu-domæner."
Derfor vælger hackerne bestemte domæner
Datakriminelle bevæger sig meget rundt, forklarer Fraser Howard, der er ledende virusanalytiker hos sikkerhedsleverandøren Sophos.
Den eneste grund til, de vælger ét toplevel-domæne frem for et andet, er, fordi de finder en domæneregistrator, hvor det er lettere at registrere domæner under et bestemt toplevel-domæne, eller fordi de har en idé om, at et særligt toplevel-domænes omdømme er bedre end andres, forklarer han.
"Tillid er den eneste egentlige fordel ved at vælge ét TLD frem for et andet," påpeger han.
"Har brugerne mere tillid til visse TLD'er end andre? Hvis det er tilfældet, så er det en fordel for angriberne at bruge det TLD."
Omdømme og pris
Botezatu vurderer, at .eu-domæner imødekommer de kriminelles krav til både omdømme og pris.
"Da .eu-domænerne først for nylig er blevet populære hos de kriminelle, så associeres de ikke med misbrug," forklarer han.
"Ofre regner ikke med at blive angrebet ved at besøge et europæisk domæne og desuden forventer de her også, at indholdet er skrevet på engelsk. Eksempelvis russiske TLD'er derimod er kendt for at blive brugt til datakriminalitet og leverer desuden lokaliseret indhold, der er uforståeligt for personer, der ikke læser russisk."
"Det faktum, at .eu-domæner koster det samme som .com- og .info-domæner og kan købes på årsbasis er også en fordel for datakriminelle, som er ude efter de billigste domæner for den kortest mulige periode," fremhæver han.
Har handlet resulut
Nonprofit-organisationen EURid, der administrerer toplevel-domænet .eu under kontrakt med Europa-Kommissionen, har ifølge Howard historisk set handlet resolut for at beskytte toplevel-domænets omdømme.
EURid har ifølge Howard fortalt analytikerne fra Sophos, at organisationen har løst problemet efter at være blevet gjort opmærksom på det seneste Blackhole-angreb.
Det står dog ikke klart, om det blot betyder, at domænerne er blevet suspenderet, eller om organisationen har gjort noget for at forhindre de kriminelle i at registrere nye domæner, påpeger Howard.
EURid modtager fortsat kun meget få klager, oplyser generaldirektør Marc Van Wesemael fredag via e-mail.
"Vi har altid modtaget enkelte klager, hvilket vi sandsynligvis fortsat vil. Jeg vil dog gerne understrege, at vi har interne procedurer på plads til at bekæmpe misbrug af .eu."
EURid yder en stor indsats for at bekæmpe misbrug af .eu-domæner og har automatiserede værktøjer, der kan identificere misbrug så tidligt som muligt, skriver Van Wesemael.
"Vi samarbejder også tæt med adskillige sikkerhedsorganisationer, som giver os tidlige advarsler om misbrug af.eu-websteder/domænenavne."
Over 95 procent af de tilfælde af misbrug, som EURid behandler, indebærer dog legitime .eu-websteder, der er blevet hacket og inficeret med malware, oplyser Van Wesemael.
I disse tilfælde er det ifølge Van Wesemael ikke muligt blot at lukke de inficerede websteder, fordi de muligvis bruges af deres ejere til legitime forretningsmæssige formål.
"EURid meddeler den ansvarlige registrator og/eller registrant om enhver kendt hændelse og derefter følger vi op på sagen, indtil problemet er løst."
Oversat af Thomas Bøndergaard
