Ist .info das neue .cc?

Im April wurden die .co.cc und .cz.cc-Subdomains komplett mit Malware-verteilenden Websites überschwemmt, und der ungewöhnlich aufschlussreiche DNS Registration-Setup auf .co.cc und .cz.cc hatte die früher anstehende Fake-Antiviren-Lösung für Apple vorausgesagt. Jedoch ist bei der Verbreitung von FakeAV seit Anfang des Jahres ein steter Rückgang zu verzeichnen, und in den letzten sechs Monaten sind einige damit in Zusammenhang stehende Ereignisse eingetreten. Blackhole-Betreiber sind, zusammen mit weiteren Betreibern schädlicher Websites, zu .info-Domains abgewandert. Haben sie dafür gesorgt, dass aus dem Domainnamen .info ein neues .cc geworden ist?

Also, wie sah diese Streuung eigentlich aus? Gehen wir uns noch einmal zurück zu den Ereignissen Anfang dieses Jahres. Die Registratoren von .co.cc und .cz.cc-Domains boten umsonst DNS-Registrierungen und preisgünstige oder kostenlose Hosting-Möglichkeiten an. Cyberkriminelle missbrauchten diese billigen Ressourcen zur Verbreitung ihrer Schadprogramme und stellten das Blackhole Exploit-Pack unter Verwendung dieser URL-Namen bereit, und brachten so gefälschte Antivirenlösungen und andere Gemeinheiten in Umlauf. Java-Exploits wurden zu den effektivsten und am meisten verbreiteten Exploits im Blackhole-Set, gefolgt von Exploits, die sich gegen Schwachstellen in der Adobe Reader- und HCP-Software richtete. Der Daten-Traffic wurde von Google Image Search Poisoning zu diesen Kits geleitet, indem legitime Seiten kompromittiert und Browser an diese Kit-Sites mit eingebettetem iframe und img src-Tags weitergeleitet wurden, sowie durch erfolgreiche „Malvertizing-Kampagnen“ (Malware-Verbreitung über gekaperte Werbebanner) auf den wichtigsten Webmail-Providern. Aber, alles rächt sich früher oder später…

Diese Kampagnen konnten nicht andauern. Google hatte begriffen, dass sein Image und das von anderen Internet-Suchdiensten erheblich durch die Malware-Verbreiter, die ihre Angriffe auf .cc-Subdomains hosten, beschädigt worden war und deaktivierte im vergangenen Juli sämtliche .co.cc und .cz.cc-Domains. Im August erfolgte die Verhaftung einer mutmaßlichen Größe im Fake-Antiviren-Markt und Mit-Gründer von Chronopay und vermutlich damit in Verbindung stehende Operationen wurden zerschlagen. Außerdem brachte Microsoft den Besitzer/Betreiber der .cc-Domains vor Gericht, nachdem Kaspersky-Sicherheitsanalysten die Kontrolle über das Hlux-Botnetz, das teilweise von .cc-Adressen aus gesteuert worden war, übernommen hatten. Diese Maßnahmen führten insgesamt dazu, dass die Ratten das sinkende Schiff verließen. Allerdings brauchten diese Ratten nun einen neuen Unterschlupf und wie es scheint, haben sie sich .info als neues Zuhause ausgesucht. Während zehntausende Trojan.JS.Darduk Treffer in den USA und Russland einen starken Aufwärtstrend verzeichneten (Darduk erkennt die Hauptseite einiger spezifischen, kürzlich erschienen Versionen des Blackhole-Exploit-Packs), werden fast die Hälfte der Darduk-Seiten von .info-Domains ausgeliefert. Dieser starke Trend nahm am 28. seinen Lauf und setzt sich weiter fort…

Die Hunderttausende von Browsern, die Treffer von schädlichen URLs – ausgehend von .info – erzeugen, werden nicht einfach zu skurrilen Pornosites weitergeleitet, was häufiger mal vorkommen kann. Diesmal umfasst die Liste mehr legitime Websites.

Verschiedene Gegenmaßnahmen können ergriffen werden: Als Systemadministrator sollten Sie sich überlegen, ob Sie Ihre Nutzer wirklich .info-Seiten aufrufen lassen sollten. Oder wenn Sie sich mit einer veralteten Java-Version herumschlagen müssen, oder Ihre Nutzer alle Flash in ihren Browsern aktiviert haben – ist es tatsächlich notwendig, dass sie auf die Inhalte von .info-Domains zugreifen können?

Die .cc-Domains waren ein preisgünstiger (häufig kostenloser), automatisierter und einfacher Ort für die Betreiber von Exploit-Packs, ihr Geschäft zu eröffnen, um Blackhole Exploit-Webseiten, Fake-Antiviren-Lösungen, ZeroAccess-Trojaner und Zbot-Spyware auszuliefern, um nur ein paar zu nennen. Gleichzeitig reagierten die Betreiber angesichts der beträchtlichen Anzahl von Nutzern, die durch die Seiten Schaden genommen hatten, kaum, und auch das Hlux-Botnetz wurde teilweise von diesen Domains aus gesteuert. An einem gewissen Punkt erregten sie zu viel Aufmerksamkeit. Auffällig ist, dass in den letzten 48 Stunden gerade einmal ein Dutzend Darduk-Treffer von .cu.cc und .co.cc-Domains erfolgten, und die meisten Treffer von Subdomains von dyndns.info ausgingen. Darduk-Treffer lassen sich von .name, .org und anderen Domains feststellen, aber eine steile Trendkurve lässt sich von .info aus feststellen. Und von .ms-Sites wird ein ganzer Haufen bösartiger Scheußlichkeiten verbreitet, und nicht nur notwendigerweise Blackhole-Exploit-Sites. Natürlich beobachten wir diese Abwanderungen von konzentrierten schädlichen Webaktivitäten genau, und nur die Zeit wird zeigen, ob .info sauber gehalten werden kann und andere gTLDs stärker ausgenutzt werden.

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.