عرض خصم التراخيص المتعددة
قاعدة بيانات التهديد البرمجيات الخبيثة برامج ضارة BadIIS

برامج ضارة BadIIS

بواسطة Mezo في البرمجيات الخبيثة
ترجمة الى:

كشف باحثو الأمن السيبراني عن حملة تخريب متطورة لمحركات البحث (SEO)، يُعتقد أن منفذها جهة تهديد ناطقة بالصينية. تستهدف الهجمات بشكل رئيسي شرق وجنوب شرق آسيا، مع التركيز بشكل خاص على فيتنام. ترتبط هذه الحملة ببرمجية خبيثة تُسمى BadIIS، وتُتتبع باسم CL-UNK-1037. والجدير بالذكر أن الجهة المُهددة تُظهر تداخلات في البنية التحتية والهيكلية مع جهات تُعرف بالمجموعة 9 وDragonRank.

كيف يعمل تسميم محركات البحث

يتضمن استغلال تحسين محركات البحث (SEO) التلاعب بنتائج محركات البحث لخداع المستخدمين ودفعهم لزيارة مواقع ويب غير متوقعة أو ضارة، مثل مواقع المقامرة أو محتوى للبالغين، لتحقيق مكاسب مالية. في هذه الحملة، يستغل المهاجمون وحدة IIS أصلية، BadIIS، لعرض محتوى ضار من خوادم شرعية ولكنها مخترقة.

تتضمن وظائف BadIIS ما يلي:

  • اعتراض وتعديل حركة المرور الواردة عبر HTTP.
  • حقن الكلمات والعبارات الرئيسية في مواقع الويب ذات السمعة الطيبة للتلاعب بتصنيفات محرك البحث.
  • تحديد الزوار من خلال برامج الزحف الخاصة بمحركات البحث باستخدام رأس User-Agent وجلب المحتوى السام من خادم Command-and-Control (C2).

يتيح هذا النهج لمواقع الويب المخترقة الحصول على ترتيب مرتفع لمصطلحات البحث المستهدفة، مما يؤدي في النهاية إلى إعادة توجيه المستخدمين غير المنتبهين إلى مواقع احتيالية.

دورة حياة الهجوم

يتبع هجوم تسميم محرك البحث عملية متعددة الخطوات:

بناء الإغراء : يقوم المهاجمون بتغذية محتوى تم التلاعب به إلى روبوتات البحث، مما يجعل موقع الويب المخترق يبدو ذا صلة بمصطلحات البحث غير ذات الصلة.

نصب الفخ : يواجه الضحايا الذين يبحثون عن هذه المصطلحات مواقع تبدو شرعية ولكنها معرضة للخطر، والتي تعيد توجيههم إلى وجهات ضارة.

في حادثة واحدة معروفة على الأقل، استغل المهاجمون وصول برنامج البحث إلى الشبكة لتصعيد الهجمات من خلال إنشاء حسابات محلية جديدة، ونشر واجهات ويب، واستخراج الكود المصدر، وتثبيت عمليات زرع BadIIS إضافية للوصول عن بعد المستمر.

الأدوات والأنواع المستخدمة

يستخدم الفاعل المهدِّد أدوات ومتغيرات متعددة لتحقيق التلاعب بمحرك البحث والتحكم في حركة المرور:

  • معالج صفحات ASP.NET خفيف الوزن لتوكيل المحتوى الضار.
  • وحدة .NET IIS المُدارة لفحص/تعديل الطلبات وحقن الروابط/الكلمات الرئيسية غير المرغوب فيها.
  • برنامج PHP متكامل يجمع بين إعادة توجيه المستخدم وتسميم محرك البحث الديناميكي.

    • تم تخصيص كافة الغرسات للتحكم في نتائج محرك البحث وتدفق حركة المرور، مما يدل على عملية منسقة للغاية.

    الإسناد والأدلة اللغوية

    لدى الباحثين ثقة كبيرة بأن هذا النشاط يُدار من قِبل جهة تهديد ناطقة بالصينية. ويدعم هذا الاستنتاج ما يلي:

    • تم العثور على أدلة لغوية مباشرة في البرامج الضارة والبنية الأساسية.
    • الروابط المعمارية والتشغيلية التي تربط الممثل بمجموعة 9.

    تُعد عملية إعادة الكتابة مثالاً واضحاً على كيفية استغلال الجهات الفاعلة المتطورة للتهديدات لتسميم محركات البحث، وثغرات IIS، واختراقات خادم الويب لإعادة توجيه حركة المرور وتنفيذ هجمات ذات دوافع مالية.

    الشائع

    أمريكان إكسبريس - احتيال عبر البريد الإلكتروني بشأن...

    التصيد الاحتيالي, رسائل إلكترونية مزعجة
    كشف باحثو الأمن السيبراني عن حملة خبيثة توزع رسائل احتيالية تُعرف باسم عملية الاحتيال عبر البريد الإلكتروني "أمريكان إكسبريس - معاملة متنازع عليها". تتظاهر هذه الرسائل بأنها صادرة من أمريكان إكسبريس، لكنها في الحقيقة مزيفة تمامًا. يهدف هذا الاحتيال إلى خداع المستلمين ودفعهم لزيارة موقع تصيد احتيالي وتقديم معلومات حساسة، مثل بيانات اعتماد الخدمات المصرفية عبر الإنترنت. والجدير بالذكر أن هذه...

    الأكثر مشاهدة

    البرمجيات الخبيثة

    التصيد الاحتيالي, رسائل إلكترونية مزعجة
    34,926
    رسالة الاحتيال "Apple Pay Suspended" هي نوع من أساليب التصيد الاحتيالي التي تستهدف مستخدمي Apple Pay. تدعي الرسالة أن محفظة Apple Pay الخاصة بالمستخدم قد تم تعليقها وتحثهم على النقر فوق رابط لاستعادتها. ومع ذلك ، سيؤدي النقر فوق الارتباط إلى نقل المستخدم إلى موقع ويب مزيف مصمم لسرقة معلوماته الشخصية والمالية. إذا وقع المستخدم ضحية لهذا المخطط ، فقد تكون العواقب وخيمة ، بما في ذلك الخسائر...
    جار التحميل...