Los ciberdelincuentes están abusando cada vez más de dominios .eu en ataques

Los ciberdelincuentes utilizan cada vez más los nombres de dominio.eu en sus campañas de ataque, según datos de varias compañías de seguridad.

"Numerosos dominios.eu maliciosos se han registrado durante noviembre y se utilizan para infectar PC con malware a través de el kit exploratorio Blackhole ", dijo Fraser Howard, investigador principal de virus del vendedor de seguridad Sophos, en una publicación de blog el jueves.

Blackhole es un kit de herramientas de ataque basado en web que usa exploits para vulnerabilidades en complementos del navegador como Adobe Reader. Flash Player o Java, para infectar las computadoras con malware.

[Lectura adicional: cómo eliminar el malware de su PC con Windows]

En el ataque visto por Sophos, los cibercriminales hospedaron su Blackhole páginas de ataque en nombres de dominio de aspecto aleatorio con la extensión.eu, todas apuntando a un servidor malicioso conocido ubicado en la República Checa.

"Son efímeras; los nombres solo se resuelven en el servidor de destino durante un breve período antes de que los atacantes pasen al siguiente ", dijo Howard. "Este tipo de táctica es bastante común, utilizada por muchas amenazas en sus intentos de evadir el filtrado de seguridad."

Sin embargo, generalmente son otros TLD (dominios de nivel superior) los que sufren abusos en tales ataques, no.eu, dijo Howard.

Sophos no pudo proporcionar información sobre la cantidad de ataques vistos este año que incluyeron URL.eu maliciosas, pero según los datos del proveedor de antivirus Bitdefender, el nivel de abuso en el espacio de dominio.eu está aumentando.

" Durante la segunda mitad de 2012 vimos una mayor actividad maliciosa en.eu TLD ", dijo Bogdan Botezatu, analista senior de e-threat en Bitdefender, el viernes por correo electrónico. "En comparación con la primera mitad del año, el número de dominios.eu maliciosos casi se triplicó, del 0.53 por ciento de todos los incidentes de seguridad que involucran TLDs al 1.38 por ciento."

Durante la primera mitad del año,.eu fue el 11 °. -el dominio de nivel más alto abusado con frecuencia, dijo Botezatu. "Ahora ocupa el octavo lugar." Los dominios rusos,.com e.info aún tienen la mayor parte del abuso.

"Confirmamos la tendencia de que los dominios.en y.eu a menudo se usan para alojar sitios web maliciosos y campañas de spam. ", Dijo el viernes un representante del vendedor de antivirus Kaspersky Lab en un comunicado enviado por correo electrónico. "Ambos tipos de dominio se encuentran en la lista de las 15 principales zonas de dominio nacional de sitios maliciosos. También debe tenerse en cuenta que la notoria botnet HLUX (aka Kelihos) usó varios dominios.eu. "

Los atacantes generalmente prefieren moverse, Howard dijo el viernes por correo electrónico. La única razón por la que elegirían un TLD sobre otro es porque encontraron un proveedor de dominio que les permite registrar dominios bajo un TDL particular más fácilmente o porque creen que la reputación de un TLD particular es mejor, dijo.

"The El único beneficio real de elegir un TLD sobre otro es la confianza ", dijo. "¿Los usuarios confían en algunos TLD más que otros? De ser así, podría haber ventajas para los atacantes que elijan ese TLD. "

Botezatu cree que los dominios.eu cumplen con la reputación y las expectativas económicas de los ciberdelincuentes.

" Dado que los dominios de la UE se han popularizado recientemente, no lo son asociado en la mente de las personas con el abuso ", dijo. "Las víctimas no esperarían verse perjudicadas visitando un dominio europeo, más el hecho de que esperarían que sus contenidos estuvieran en inglés, a diferencia de los TLD rusos, por ejemplo, que se sabe que son un puerto seguro para el delito cibernético y también se entregan localizados, contenido ilegible para terceros. "

" El hecho de que los dominios.eu tengan el mismo precio que los dominios.com e.info y se puedan comprar anualmente también es una ventaja para los ciberdelincuentes, que quieren los dominios más baratos para el período más breve de tiempo ", dijo.

De acuerdo con Howard, EURid, la organización sin fines de lucro que gestiona el.eu TLD bajo contrato con la Comisión Europea, históricamente ha tomado medidas decisivas para proteger la reputación del TLD.

EURid le dijo a los investigadores de Sophos que había resuelto el problema después de haber sido notificado sobre este reciente ataque de Blackhole, dijo Howard. Sin embargo, no está claro si eso simplemente significa que los dominios se suspendieron o si la organización realizó algún cambio para evitar que los atacantes registraran nuevos, dijo.

El número de quejas recibidas por EURid sigue siendo muy bajo, el gerente general de EURid Marc Van Wesemael dijo el viernes por correo electrónico. "Siempre hemos recibido algunas quejas y lo más probable es que sigamos haciéndolo. Sin embargo, me gustaría hacer hincapié en que tenemos procedimientos internos para luchar contra los abusos contra.eu. "

EURid pone mucho empeño en contrarrestar los registros de dominio.eu abusivos y cuenta con herramientas automatizadas para identificar el abuso tan pronto como sea posible, Van Wesemael dijo. "También trabajamos en estrecha colaboración con varias organizaciones de seguridad que nos dan advertencias tempranas sobre abusos en relación con sitios web / nombres de dominio.eu". Sin embargo, más del 95% de los casos de abuso vistos por EURid involucran sitios web legítimos de.eu que han sido pirateados y malware REPLACEado en ellos, dijo Van Wesemael. En esos casos, derribar los sitios web infectados no es una opción porque podrían ser utilizados por sus dueños para sus negocios, dijo. "EURid informa al registrador responsable y / o al registrante sobre cualquier incidente conocido y luego hacemos un seguimiento de cerca hasta que el problema se haya resuelto".