Киберпреступники все чаще выбирают доменную зону .eu

Киберпреступники все интенсивнее используют в своей противозаконной деятельности объединенный европейский домен .eu, говорится в отчете британской антивирусной компании Sophos. "Количество вредоносных доменов в .eu растет. Множество вредоносных доменов было зарегистрировано в течение ноября для распространения набора эксплоитов Blackhole", - говорит Фрейзер Ховард, антивирусный специалист Sophos.

Blackhole представляет собой веб-атакующий набор эксплоитов, нацеленных на различные браузерные уязвимости и плагины, такие как Adobe Reader, Flash Player или Java Plug-in для заражения компьютеров пользователей. В последней волне атак, зафиксированной компанией Sophos, киберпреступники атаковали случайным образом выбранные .eu-домены, пытаясь разместить на них вредоносные коды. Кроме того, злоумышленники используют специально зарегистрированные домены для атаки на компьютеры конечных пользователей. Значительное число вредоносных .eu-доменов было зарегистрировано с территории Чехии, сообщает cybersecurity.ru.

"Срок жизни таких доменов невелик, каждое конкретное имя указывает на сервер лишь непродолжительный период времени, после чего организаторы предопределяют домен на новый сервер. В целом, подобная методика привычна для таких атак, так как она затрудняет закрытие конкретного сервера и фильтрацию трафика из-за смены IP-адресов", - говорит Ховард.

Подтверждают эти данные и в румынской антивирусной компании Bitdefender. "Во второй половине 2012 года мы наблюдали рост вредоносной активности в доменной зоне .eu. В сравнении с первым полугодием мы зафиксировали примерно трехкратный рост числа вредоносных доменов. Если в январе 2012 года на долю .eu приходилось лишь 0,53% атак, то сейчас их уже 1,40%", - рассказал Богдан Ботезату, антивирусный специалист Bitdefender. "Сейчас .eu стал восьмым в списке самых вредоносных доменов, в начале года он был одиннадцатым. Значительная часть атак по-прежнему приходится на российский домен .ru и международный .com".

В "Лаборатории Касперского" также подтверджают данный тренд, дополняя информацию сведениями о значительном росте вредоносной активности в доменной зоне Индии .in. "Оба домена (ru и in) входят в Top-15 самых вредоносных национальных доменов. Кроме того, мы фиксируем рост вредоносной активности, связанной с кодом Kelihos, в зоне .eu", - рассказали в "Лаборатории Касперского".

В Sophos говорят, что атакующие достаточно часто переходят из одной доменной зоны в другую, так как репутация различных доменов варьируется и пользователи скорее будут доверять сайтам в зоне .eu, нежели в зонах .cc (Кокосовы острова) или .td (Республика Чад), поэтому очевиден и интерес атакующих к более надежным зонам.

"Домен .eu пока не ассоциируется у большинства пользователей с мошенническими операциями. Кроме того, .eu - это общеевропейский домен и информация здесь может быть как на английском, так и на любом другом популярном языке", - говорят в Sophos.

Европейский доменный регистратор Eurid также подтверждает рост мошеннической и вредоносной активности в домене .eu, правда, тут замечают, что в сравнении с другими популярными доменами тут вредоносная активность все равно ниже.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Лжесотрудники банков раздают вредоносные апдейты в аэропортах

Мошенники, использующие зловредов для кражи учеток ДБО, начали от имени подсанкционных банков предлагать их для скачивания в крупных аэропортах и вокзалах ж/д. Вредоноса при этом выдают за обновление мобильного приложения.

В качестве предлога пассажиру предлагают поучаствовать в акции и стать обладателем бесплатной кредитки с выгодным лимитом. Если тот согласен, выясняется, что в его версии мобильного банка этой акции нет, и приложение нужно обновить.

В магазинах Google и Apple софт недоступен: его удалили из-за западных санкций, однако лжесотрудник банка может решить проблему, прислав сообщение со ссылкой для загрузки. Как вариант, потенциальной жертве предлагается подключиться к ноутбуку обманщика «через проводочек» и скачать с него прогу.

Вредоносный апдейт, по свидетельству SafeTech, неотличим от легитимного банковского клиента. После входа логин и пароль попадают в руки мошенников; чтобы ими воспользоваться на другом устройстве, потребуется одноразовый код, высылаемый банком (СМС) для подтверждения смены привязки. Добыть его помогает все тот же зловред, установленный на телефоне жертвы.

Получив нужные ключи, злоумышленники не мешкают. Пока жертва на борту самолета (или в поезде дальнего следования) и не может получить алерт банка из-за плохой связи, с ее счета выводятся деньги.

Подобный сценарий вполне может выстрелить. Из-за санкций приложения многих российских банков удалены из App Store и Google Play, и кредитно-финансовым организациям приходится искать альтернативы для обновления клиентского софта. Апдейты могут публиковать под другими названиями и от имени других разработчиков. Их также предлагают в отделениях банков, где помощь окажут сотрудники.

Выбор аэропортов и вокзалов тоже в данном случае оправдан: банки давно уже используют залы ожидания для оформления карт и проведения других маркетинговых кампаний. Такие места всегда под охраной, и обман кажется маловероятным.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru