DragonRank SEO Attack
S'ha observat que els actors d'amenaça es dirigeixen als servidors d'Internet Information Services (IIS) a Àsia com a part d'una campanya de manipulació d'optimització de motors de cerca (SEO). Els atacants utilitzen aquest esquema per desplegar BadIIS , una amenaça dissenyada per alterar el trànsit web i redirigir els usuaris a destinacions il·lícites.
Taula de continguts
Redireccions amb motivació financera a llocs d'apostes il·legals
Sembla que la campanya està orientada als beneficis, ja que els servidors compromesos canalitzen usuaris desprevinguts cap a llocs web d'apostes il·legals. Els servidors IIS afectats estan vinculats a diverses institucions, com ara agències governamentals, universitats, empreses tecnològiques i proveïdors de telecomunicacions. Les regions afectades inclouen l'Índia, Tailàndia, Vietnam, Filipines, Singapur, Taiwan, Corea del Sud, Japó i fins i tot Brasil.
Trànsit manipulat i redireccions amenaçadores
Un cop compromès un servidor, pot oferir contingut alterat als visitants entrants. Els atacants utilitzen aquest control per implementar redireccions a llocs d'apostes o per connectar les víctimes a infraestructures canalla que allotja programari o pàgines de recollida de credencials insegurs. Aquesta tècnica permet als ciberdelinqüents explotar el trànsit web legítim per obtenir guanys econòmics o ciberatacs addicionals.
La connexió DragonRank
Els investigadors atribueixen aquesta activitat a un grup d'amenaces de parla xinesa conegut com DragonRank. Documentat anteriorment com aprofitant estratègies de manipulació de SEO, DragonRank s'ha relacionat amb el desplegament de programari maliciós BadIIS. L'evidència suggereix que aquest grup va evolucionar a partir d'un actor d'amenaces anterior, conegut en els cercles de ciberseguretat com a Grup 9, que ha estat explotant servidors IIS per a serveis de proxy i frau SEO des del 2021.
Tàctiques superposades amb el grup 11
Curiosament, investigacions recents revelen que els artefactes de programari maliciós detectats tenen similituds amb una variant associada a una altra entitat, el Grup 11. Aquesta versió de BadIIS inclou funcionalitats dobles: una manera se centra en el frau SEO, mentre que l'altra injecta codi JavaScript sospitós a les respostes web per manipular el trànsit dels visitants.
Com redirigeix BadIIS les víctimes
BadIIS pot interceptar i modificar les capçaleres de resposta HTTP dels servidors IIS compromesos. Concretament, examina els camps "User-Agent" i "Referer" dins de les sol·licituds HTTP entrants. Si aquests camps contenen llocs del portal de cerca o paraules clau orientades, el programari maliciós redirigeix els usuaris a un lloc web d'apostes no autoritzat en lloc de la pàgina legítima esperada. Aquesta redirecció dirigida permet als atacants explotar el trànsit de cerca orgànica pel seu propi benefici.
