DragonRank SEO Attack
Os autores de ameaças foram observados mirando os servidores do Internet Information Services (IIS) na Ásia como parte de uma campanha de manipulação de otimização de mecanismos de busca (SEO). Os invasores usam esse esquema para implantar o BadIIS, uma ameaça projetada para alterar o tráfego da Web e redirecionar usuários para destinos ilícitos.
Índice
Redirecionamentos Motivados Financeiramente para Sites Ilegais de Jogos de Azar
A campanha parece ser motivada pelo lucro, já que servidores comprometidos canalizam usuários desavisados para sites de apostas ilegais. Os servidores IIS afetados estão vinculados a várias instituições, incluindo agências governamentais, universidades, empresas de tecnologia e provedores de telecomunicações. As regiões impactadas incluem Índia, Tailândia, Vietnã, Filipinas, Cingapura, Taiwan, Coreia do Sul, Japão e até mesmo o Brasil.
Tráfego Manipulado e Redirecionamentos Ameaçadores
Uma vez que um servidor é comprometido, ele pode servir conteúdo alterado para visitantes que chegam. Os invasores usam esse controle para implementar redirecionamentos para sites de apostas ou para conectar vítimas a infraestruturas desonestas que hospedam softwares inseguros ou páginas de coleta de credenciais. Essa técnica permite que os criminosos cibernéticos explorem tráfego legítimo da web para ganho financeiro ou outros ataques cibernéticos.
A Conexão DragonRank
Pesquisadores atribuem essa atividade a um grupo de ameaças de língua chinesa conhecido como DragonRank. Anteriormente documentado como alavancando estratégias de manipulação de SEO, o DragonRank foi vinculado à implantação do malware BadIIS. As evidências sugerem que esse grupo evoluiu de um ator de ameaça anterior, conhecido nos círculos de segurança cibernética como Grupo 9, que vem explorando servidores IIS para serviços de proxy e fraude de SEO desde 2021.
Táticas Sobrepostas com o Grupo 11
Curiosamente, investigações recentes revelam que os artefatos de malware detectados apresentam semelhanças com uma variante associada a outra entidade, o Grupo 11. Esta versão do BadIIS inclui funcionalidades duplas: um modo foca em fraude de SEO, enquanto o outro injeta código JavaScript suspeito em respostas da Web para manipular o tráfego de visitantes.
Como o BadIIS Redireciona as Vítimas
O BadIIS pode interceptar e modificar cabeçalhos de resposta HTTP dos servidores IIS comprometidos. Especificamente, ele examina os campos 'User-Agent' e 'Referer' dentro de solicitações HTTP recebidas. Se esses campos contiverem sites de portal de pesquisa ou palavras-chave direcionadas, o malware redireciona os usuários para um site de apostas não autorizado em vez da página legítima esperada. Esse redirecionamento direcionado permite que os invasores explorem o tráfego de pesquisa orgânica para seu próprio benefício.
