Киберпреступники все чаще выбирают доменную зону .eu

Александр Панасенко 26 Ноября 2012 - 14:24

Общее

Лаборатория Касперского

Sophos

BitDefender

Вредоносные программы

...

Киберпреступники все интенсивнее используют в своей противозаконной деятельности объединенный европейский домен .eu, говорится в отчете британской антивирусной компании Sophos. "Количество вредоносных доменов в .eu растет. Множество вредоносных доменов было зарегистрировано в течение ноября для распространения набора эксплоитов Blackhole", - говорит Фрейзер Ховард, антивирусный специалист Sophos.

Blackhole представляет собой веб-атакующий набор эксплоитов, нацеленных на различные браузерные уязвимости и плагины, такие как Adobe Reader, Flash Player или Java Plug-in для заражения компьютеров пользователей. В последней волне атак, зафиксированной компанией Sophos, киберпреступники атаковали случайным образом выбранные .eu-домены, пытаясь разместить на них вредоносные коды. Кроме того, злоумышленники используют специально зарегистрированные домены для атаки на компьютеры конечных пользователей. Значительное число вредоносных .eu-доменов было зарегистрировано с территории Чехии, сообщает cybersecurity.ru.

"Срок жизни таких доменов невелик, каждое конкретное имя указывает на сервер лишь непродолжительный период времени, после чего организаторы предопределяют домен на новый сервер. В целом, подобная методика привычна для таких атак, так как она затрудняет закрытие конкретного сервера и фильтрацию трафика из-за смены IP-адресов", - говорит Ховард.

Подтверждают эти данные и в румынской антивирусной компании Bitdefender. "Во второй половине 2012 года мы наблюдали рост вредоносной активности в доменной зоне .eu. В сравнении с первым полугодием мы зафиксировали примерно трехкратный рост числа вредоносных доменов. Если в январе 2012 года на долю .eu приходилось лишь 0,53% атак, то сейчас их уже 1,40%", - рассказал Богдан Ботезату, антивирусный специалист Bitdefender. "Сейчас .eu стал восьмым в списке самых вредоносных доменов, в начале года он был одиннадцатым. Значительная часть атак по-прежнему приходится на российский домен .ru и международный .com".

В "Лаборатории Касперского" также подтверджают данный тренд, дополняя информацию сведениями о значительном росте вредоносной активности в доменной зоне Индии .in. "Оба домена (ru и in) входят в Top-15 самых вредоносных национальных доменов. Кроме того, мы фиксируем рост вредоносной активности, связанной с кодом Kelihos, в зоне .eu", - рассказали в "Лаборатории Касперского".

В Sophos говорят, что атакующие достаточно часто переходят из одной доменной зоны в другую, так как репутация различных доменов варьируется и пользователи скорее будут доверять сайтам в зоне .eu, нежели в зонах .cc (Кокосовы острова) или .td (Республика Чад), поэтому очевиден и интерес атакующих к более надежным зонам.

"Домен .eu пока не ассоциируется у большинства пользователей с мошенническими операциями. Кроме того, .eu - это общеевропейский домен и информация здесь может быть как на английском, так и на любом другом популярном языке", - говорят в Sophos.

Европейский доменный регистратор Eurid также подтверждает рост мошеннической и вредоносной активности в домене .eu, правда, тут замечают, что в сравнении с другими популярными доменами тут вредоносная активность все равно ниже.

Следующая главная новость »

Vulnerability Management 2026: что в управлении уязвимостями уже не работает?
Регистрируйтесь на эфир!

Екатерина Быстрова 03 Апреля 2026 - 12:18

Android iOS Трояны Домашние пользователи Лаборатория Касперского

Опасный троян SparkCat снова пробрался в App Store и Google Play

Троян SparkCat снова вернулся в официальные магазины приложений. Эксперты «Лаборатории Касперского» сообщили, что обнаружили новый вариант этого зловреда в App Store и Google Play спустя примерно год после того, как его уже находили и удаляли оттуда.

На этот раз вредонос маскировался под вполне обычные приложения, которые не вызывают особых подозрений с первого взгляда: корпоративные мессенджеры и сервисы доставки еды.

А сценарий у операторов всё тот же: пользователь скачивает вроде бы безобидное приложение, а внутри оказывается троян, который охотится за данными пользователя.

Главная цель SparkCat — фотографии в галерее смартфона. Зловред в определённых сценариях запрашивает доступ к снимкам, после чего начинает анализировать текст на изображениях с помощью OCR. В первую очередь его интересуют фразы для восстановления доступа к криптокошелькам. Если троян находит что-то подходящее, изображение отправляется злоумышленникам.

По данным «Лаборатории Касперского», в App Store нашли два заражённых приложения, а в Google Play — одно. О находке сообщили Apple и Google, и в Google Play вредоносное приложение уже удалили. При этом проблема не ограничивается только официальными магазинами: приложения со SparkCat также распространяются через сторонние сайты. Некоторые из них, как отмечают исследователи, даже мимикрируют под App Store, если открыть их с iPhone.

Интересно, что обновлённые версии трояна по-разному ведут себя на Android и iPhone. На Android SparkCat ищет ключевые слова на японском, корейском и китайском языках, из-за чего исследователи предполагают, что эта часть кампании в первую очередь нацелена на пользователей в Азии. А вот iOS-версия ориентируется на мнемонические фразы криптокошельков на английском языке, так что здесь география потенциальных атак уже выглядит гораздо шире.

С технической точки зрения зловред тоже стал хитрее. В «Лаборатории Касперского» говорят, что новая Android-версия использует несколько уровней обфускации, в том числе виртуализацию кода и кросс-платформенные языки программирования. Для мобильного зловреда это уже довольно серьёзный уровень подготовки, который помогает ему дольше оставаться незамеченным и проходить проверки.

Как отметил эксперт по кибербезопасности Сергей Пузан, поведение нового образца очень похоже на первую версию SparkCat, поэтому есть основания полагать, что за обеими кампаниями стоят одни и те же разработчики. Его коллега Дмитрий Калинин добавил, что SparkCat продолжает эволюционировать и всё лучше обходит защитные механизмы официальных магазинов приложений.

Vulnerability Management 2026: что в управлении уязвимостями уже не работает?
Регистрируйтесь на эфир!