Cotação de desconto para licenças múltiplas
Banco de Dados de Ameaças Malware Malware BadIIS

Malware BadIIS

Por Mezo em Malware
Traduzir Para:

Pesquisadores de segurança cibernética descobriram uma sofisticada campanha de envenenamento de SEO, que se acredita ter sido realizada por um agente de ameaças de língua chinesa. Os ataques têm como alvo principal o Leste e Sudeste Asiático, com foco particular no Vietnã. Esta campanha está associada ao malware BadIIS e é rastreada sob o nome CL-UNK-1037. Notavelmente, o agente de ameaças apresenta sobreposições de infraestrutura e arquitetura com entidades identificadas como Group 9 e DragonRank.

Como funciona o envenenamento de SEO

O envenenamento de SEO envolve a manipulação de resultados de mecanismos de busca para induzir usuários a visitar sites inesperados ou maliciosos, como portais de jogos de azar ou conteúdo adulto, visando ganho financeiro. Nesta campanha, os invasores exploram um módulo nativo do IIS, o BadIIS, para fornecer conteúdo malicioso de servidores legítimos, porém comprometidos.

As funções do BadIIS incluem:

  • Interceptar e modificar o tráfego HTTP de entrada.
  • Injetar palavras-chave e frases em sites confiáveis para manipular classificações em mecanismos de busca.
  • Sinalizar visitantes de rastreadores de mecanismos de busca usando o cabeçalho User-Agent e buscar conteúdo envenenado de um servidor de Comando e Controle (C2).

Essa abordagem permite que sites comprometidos tenham uma classificação elevada para termos de pesquisa segmentados, redirecionando usuários desavisados para sites fraudulentos.

O ciclo de vida do ataque

O ataque de envenenamento de SEO segue um processo de várias etapas:

Construindo a isca : os invasores fornecem conteúdo manipulado aos rastreadores de mecanismos de busca, fazendo com que o site comprometido pareça relevante para termos de pesquisa não relacionados.

Acionando a armadilha : vítimas que pesquisam esses termos encontram sites aparentemente legítimos, mas comprometidos, que as redirecionam para destinos maliciosos.

Em pelo menos um incidente conhecido, invasores aproveitaram o acesso ao rastreador de mecanismos de busca para escalar ataques criando novas contas locais, implantando shells da web, exfiltrando código-fonte e instalando implantes BadIIS adicionais para acesso remoto persistente.

Ferramentas e variantes utilizadas

O agente da ameaça emprega diversas ferramentas e variantes para conseguir manipulação de SEO e controle de tráfego:

  • Manipulador de páginas ASP.NET leve para proxy de conteúdo malicioso.
  • Módulo .NET IIS gerenciado para inspecionar/modificar solicitações e injetar links/palavras-chave de spam.
  • Script PHP completo que combina redirecionamento de usuário e envenenamento dinâmico de SEO.

Todos os implantes são personalizados para controlar os resultados dos mecanismos de busca e o fluxo de tráfego, demonstrando uma operação altamente coordenada.

Atribuição e Evidência Linguística

Os pesquisadores têm alta confiança de que essa atividade é operada por um agente de ameaça de língua chinesa. Essa conclusão é corroborada por:

  • Evidências linguísticas diretas encontradas no malware e na infraestrutura.
  • Links arquitetônicos e operacionais que conectam o ator ao cluster do Grupo 9.

A Operação Rewrite exemplifica como agentes de ameaças sofisticados estão aproveitando o envenenamento de SEO, vulnerabilidades do IIS e comprometimentos de servidores web para redirecionar tráfego e conduzir ataques com motivação financeira.

Postagens Relacionadas

Tendendo

Mais visto

Carregando...