BadIIS Malware
Um autor de ameaça que se comunica em chinês simplificado foi vinculado a uma nova campanha que tem como alvo países na Ásia e na Europa. O objetivo da campanha é manipular classificações de mecanismos de busca por meio de táticas de SEO. Esta campanha de SEO Black Hat, apelidada de DragonRank por pesquisadores de segurança cibernética, impactou regiões como Tailândia, Índia, Coreia do Sul, Bélgica, Holanda e China.
O DragonRank compromete serviços de aplicativos da Web para implantar shells da Web, que são então usados para coletar informações do sistema e entregar malware como PlugX e BadIIS. Esses ataques levaram ao comprometimento de 35 servidores do Internet Information Services (IIS), visando, em última análise, instalar o malware BadIIS, identificado pela primeira vez em agosto de 2021.
Índice
Os Atacantes Assumem o Controle de Servidores IIS Comprometidos
O malware é projetado especificamente para facilitar o proxy ware e a fraude de SEO, convertendo o servidor IIS comprometido em um ponto de retransmissão para comunicações fraudulentas entre agentes de ameaças e suas vítimas. Além disso, ele pode alterar o conteúdo servido aos mecanismos de busca para manipular algoritmos e melhorar as classificações de sites visados pelos invasores.
Uma das descobertas mais impressionantes da investigação é a versatilidade do malware IIS, particularmente em seu uso para fraude de SEO. Esse malware é explorado para manipular algoritmos de mecanismos de busca, aumentando a visibilidade e a reputação de sites de terceiros.
Os ataques mais recentes descobertos pelos pesquisadores abrangem uma ampla gama de setores, incluindo joias, mídia, serviços de pesquisa, saúde, produção de vídeo e televisão, manufatura, transporte, organizações religiosas e espirituais, serviços de TI, relações internacionais, agricultura, esportes e até mesmo feng shui.
A Cadeia de Ataque Atribuída ao DragonRank
O ataque começa explorando vulnerabilidades conhecidas em aplicativos da Web, como phpMyAdmin e WordPress, para implantar o shell da Web ASPXspy de código aberto. Esse shell da Web serve então como um gateway para introduzir ferramentas adicionais no ambiente de destino.
O principal objetivo da campanha é comprometer servidores IIS que hospedam sites corporativos. Os invasores usam esses servidores para instalar malware BadIIS, reaproveitando-os como plataformas para atividades fraudulentas, geralmente envolvendo palavras-chave relacionadas a pornografia e sexo.
Uma característica notável do malware é sua capacidade de personificar o rastreador do mecanismo de busca do Google em sua sequência de caracteres User-Agent ao se conectar ao servidor Command-and-Control (C2). Essa tática o ajuda a escapar de algumas medidas de segurança de sites.
Autores de Ameaças Se Envolvem em Manipulação de SEO
O agente de ameaça manipula o SEO explorando ou alterando algoritmos de mecanismos de busca para impulsionar a classificação de um site nos resultados de busca. Isso é feito para direcionar tráfego para sites fraudulentos, aumentar a visibilidade de conteúdo fraudulento ou atrapalhar concorrentes inflando ou deflacionando classificações artificialmente.
O DragonRank se destaca de outros grupos de Black Hat SEO devido à sua abordagem de violar servidores adicionais dentro da rede do alvo. Ele mantém o controle sobre esses servidores usando o PlugX, um backdoor comumente usado por agentes de ameaças chineses, e várias ferramentas de coleta de credenciais como Mimikatz , PrintNotifyPotato, BadPotato e GodPotato.
Técnicas Maliciosas e Presença Online
O malware PlugX usado nesses ataques emprega técnicas de side-loading de DLL. O DLL carregador que inicia o payload criptografado utiliza o mecanismo Windows Structured Exception Handling (SEH) para garantir que o arquivo legítimo (ou seja, o binário propenso a side-loading de DLL) possa carregar o PlugX sem disparar nenhum alerta de segurança.
Pesquisadores encontraram evidências de que o agente da ameaça opera no Telegram sob o nome 'tttseo' e no aplicativo de mensagens instantâneas QQ, onde eles conduzem transações comerciais ilegais com clientes. Eles também fornecem o que parece ser um serviço de atendimento ao cliente de alta qualidade, criando estratégias promocionais adaptadas às necessidades de seus clientes.
Os clientes podem enviar palavras-chave e sites que desejam promover, e a DragonRank cria uma estratégia com base nessas especificações. O grupo também se concentra em direcionar promoções para países e idiomas específicos, oferecendo uma abordagem personalizada e completa para marketing online.
