הצעת הנחה מרובה רישיונות
מסד נתונים של איומים תוכנה זדונית תוכנה זדונית של BadIIS

תוכנה זדונית של BadIIS

עד Mezo ב-תוכנה זדונית
לתרגם ל:

חוקרי אבטחת סייבר חשפו קמפיין הרעלת SEO מתוחכם, שלפי החשד בוצע על ידי גורם איום דובר סינית. המתקפות מכוונות בעיקר למזרח ודרום מזרח אסיה, עם דגש מיוחד על וייטנאם. קמפיין זה מקושר לתוכנה זדונית בשם BadIIS ועוקבת תחת השם CL-UNK-1037. ראוי לציין כי גורם האיום מראה חפיפות תשתית ואדריכליות עם ישויות המזוהות כ-Group 9 ו-DragonRank.

איך הרעלת SEO עובדת

הרעלת SEO כרוכה במניפולציה של תוצאות מנועי חיפוש כדי להערים על משתמשים ולגרום להם לבקר באתרים בלתי צפויים או זדוניים, כגון פורטלי הימורים או תוכן למבוגרים, למטרות רווח כספי. בקמפיין זה, התוקפים מנצלים מודול IIS מקורי, BadIIS, כדי להציג תוכן זדוני משרתים לגיטימיים אך פגועים.

פונקציות BadIIS כוללות:

  • יירוט ושינוי של תעבורת HTTP נכנסת.
  • הזרקת מילות מפתח וביטויים לאתרים בעלי מוניטין כדי להשפיע על דירוג מנועי החיפוש.
  • סימון מבקרים על ידי זחלני מנועי חיפוש באמצעות כותרת User-Agent ואחזור תוכן מורעל משרת Command-and-Control (C2).

גישה זו מאפשרת לאתרים שנפגעו לדרג גבוה עבור מונחי חיפוש ממוקדים, ובסופו של דבר להפנות משתמשים תמימים לאתרי הונאה.

מחזור החיים של ההתקפה

מתקפת הרעלת SEO עוקבת אחר תהליך רב-שלבי:

בניית הפיתוי : תוקפים מזינים תוכן מניפולטיבי לסורקי מנועי חיפוש, מה שגורם לאתר האינטרנט שנפרץ להיראות רלוונטי עבור מונחי חיפוש שאינם קשורים.

טמון המלכודת : קורבנות המחפשים מונחים אלה נתקלים באתרים שנראים לגיטימיים אך פרוצים, אשר מפנים אותם ליעדים זדוניים.

לפחות במקרה ידוע אחד, תוקפים ניצלו גישה של זחלני מנועי חיפוש כדי להסלים את ההתקפות על ידי יצירת חשבונות מקומיים חדשים, פריסת מעטפות אינטרנט, חילוץ קוד מקור והתקנת שתלי BadIIS נוספים לגישה מרחוק מתמשכת.

כלים ווריאציות בשימוש

גורם האיום משתמש במספר כלים ווריאציות כדי להשיג מניפולציה של SEO ובקרת תנועה:

  • מטפל דפים קל משקל של ASP.NET לשליחת תוכן זדוני באמצעות פרוקסי.
  • מודול מנוהל של .NET IIS לבדיקה/שינוי בקשות והזרקת קישורי/מילות מפתח של ספאם.
  • סקריפט PHP הכל-באחד המשלב הפניית משתמשים והרעלת SEO דינמית.

    • כל השתלים מותאמים אישית לשליטה בתוצאות מנועי החיפוש ובזרימת התנועה, מה שמדגים פעולה מתואמת ביותר.

    ייחוס וראיות לשוניות

    לחוקרים יש ביטחון גבוה שפעילות זו מופעלת על ידי גורם איום דובר סינית. מסקנה זו נתמכת על ידי:

    • ראיות לשוניות ישירות שנמצאו בתוכנה הזדונית ובתשתית.
    • קשרים אדריכליים ותפעוליים המחברים את הגורם לאשכול קבוצה 9.

    מבצע Rewrite מדגים כיצד גורמי איום מתוחכמים ממנפים הרעלת SEO, פגיעויות IIS ופגיעות בשרתי אינטרנט כדי להפנות תנועה ולבצע התקפות בעלות מניעים כלכליים.

    מגמות

    אמריקן אקספרס - הונאת דוא"ל בנוגע לעסקה שנויה במחלוקת

    פישינג, ספאם
    חוקרי אבטחת סייבר זיהו קמפיין זדוני המפיץ הודעות הונאה המכונה הונאת הדוא"ל "אמריקן אקספרס - עסקה במחלוקת". הודעות אלו מתייצבות כאילו מגיעות מאמריקן אקספרס, אך במציאות הן מזויפות לחלוטין. מטרת ההונאה היא להערים על נמענים לבקר באתר פישינג ולמסור מידע רגיש כגון פרטי בנקאות מקוונת. חשוב לציין, הודעות דוא"ל אלו אינן קשורות לחברות, ארגונים או ספקי שירותים לגיטימיים. איך הונאה עובדת הודעות דוא"ל הונאה...

    הכי נצפה

    תוכנה זדונית

    פישינג, ספאם
    34,926
    הודעת ההונאה 'Apple Pay Suspended' היא סוג של טקטיקת פישינג המכוונת למשתמשים של Apple Pay. ההודעה טוענת כי ארנק Apple Pay של המשתמש הושעה וקוראת לו ללחוץ על קישור כדי לשחזר אותו. עם זאת, לחיצה על הקישור תוביל את המשתמש לאתר מזויף שנועד לגנוב את המידע האישי והפיננסי שלו. אם משתמש נופל קורבן לתוכנית זו, ההשלכות עלולות להיות חמורות, כולל הפסדים כספיים וגניבת זהות. חיוני לדעת לזהות ולהימנע...
    טוען...