Attacco SEO DragonRank
Sono stati osservati autori di minacce prendere di mira i server Internet Information Services (IIS) in Asia come parte di una campagna di manipolazione dell'ottimizzazione dei motori di ricerca (SEO). Gli aggressori utilizzano questo schema per distribuire BadIIS , una minaccia progettata per alterare il traffico Web e reindirizzare gli utenti verso destinazioni illecite.
Sommario
Reindirizzamenti motivati finanziariamente verso siti di gioco illegali
La campagna sembra essere guidata dal profitto, poiché i server compromessi indirizzano utenti ignari verso siti Web di gioco d'azzardo illegali. I server IIS interessati sono collegati a varie istituzioni, tra cui agenzie governative, università, aziende tecnologiche e fornitori di telecomunicazioni. Le regioni interessate includono India, Thailandia, Vietnam, Filippine, Singapore, Taiwan, Corea del Sud, Giappone e persino Brasile.
Traffico manipolato e reindirizzamenti minacciosi
Una volta che un server è compromesso, potrebbe servire contenuti alterati ai visitatori in arrivo. Gli aggressori usano questo controllo per implementare reindirizzamenti a siti di gioco d'azzardo o per collegare le vittime a infrastrutture non autorizzate che ospitano software non sicuri o pagine di raccolta di credenziali. Questa tecnica consente ai criminali informatici di sfruttare il traffico web legittimo per ottenere guadagni finanziari o ulteriori attacchi informatici.
La connessione DragonRank
I ricercatori attribuiscono questa attività a un gruppo di minacce di lingua cinese noto come DragonRank. Precedentemente documentato come sfruttatore di strategie di manipolazione SEO, DragonRank è stato collegato all'implementazione del malware BadIIS. Le prove suggeriscono che questo gruppo si è evoluto da un precedente attore di minacce, noto nei circoli della sicurezza informatica come Gruppo 9, che ha sfruttato i server IIS per servizi proxy e frodi SEO dal 2021.
Tattiche sovrapposte con il Gruppo 11
È interessante notare che recenti indagini hanno rivelato che gli artefatti malware rilevati presentano somiglianze con una variante associata a un'altra entità, il Gruppo 11. Questa versione di BadIIS include doppie funzionalità: una modalità si concentra sulla frode SEO, mentre l'altra inietta codice JavaScript sospetto nelle risposte Web per manipolare il traffico dei visitatori.
Come BadIIS reindirizza le vittime
BadIIS può intercettare e modificare le intestazioni di risposta HTTP dai server IIS compromessi. In particolare, esamina i campi 'User-Agent' e 'Referer' nelle richieste HTTP in arrivo. Se questi campi contengono siti di portali di ricerca o parole chiave mirate, il malware reindirizza gli utenti a un sito Web di gioco d'azzardo non autorizzato anziché alla pagina legittima prevista. Questo reindirizzamento mirato consente agli aggressori di sfruttare il traffico di ricerca organico a proprio vantaggio.
