Trojan IISerpent
O Trojan IISerpent é uma ameaça de malware peculiar, que tem como alvo o software do servidor Web dos Serviços de Informações da Internet da Microsoft. A ameaça é injetada em uma instalação do IIS como uma extensão corrompida. Ao contrário de outras ameaças de malware ISS, o objetivo do IISerpent não é coletar informações confidenciais (números de cartão de crédito/débito) ou executar comandos backdoor nos sistemas comprometidos. A funcionalidade do IISerpent pode ser melhor descrita como uma fraude de SEO (Search Engine Optimization) oferecida como um serviço. A ameaça emprega técnicas antiéticas de SEO, um comportamento conhecido como Black Hat SEO, e tenta aumentar a classificação de páginas de terceiros, provavelmente pertencentes aos clientes que pagam pelos serviços dos hackers.
Índice
Detalhes técnicos
IISerpent é um módulo IIS nativo. Ele é implementado como uma DLL C ++ e adicionado ao arquivo % windir%\system32\inetsrv\config\ApplicationHost.config. Isso garante sua execução e persistência no sistema infectado. Uma vez totalmente estabelecido, o malware começará a interceptar todas as solicitações HTTP de entrada para sites hospedados no servidor. No entanto, IISerpent não afetará o servidor comprometido ou os usuários do servidor diretamente. O malware irá ignorar completamente todas as solicitações provenientes de visitantes legítimos. Ele está interessado apenas em solicitações associadas a rastreadores de mecanismos de pesquisa e, em seguida, mostra a eles um conteúdo diferente do que está na página real. O novo conteúdo é obtido do servidor C&C (Comando e Controle) da operação ou de um arquivo de configuração local.
As Técnicas de SEO Empregadas
Os rastreadores de mecanismos de pesquisa são responsáveis por vasculhar a Internet e analisar o conteúdo das páginas que encontram. O conteúdo verificado por esses bots é executado por meio de um algoritmo complexo que determina as classificações de cada página relacionada a termos de pesquisa específicos. Aumentar a classificação da sua página significa um aumento na visibilidade e no tráfego potencial.
Para atingir esse objetivo, alguns operadores de página estão dispostos a empregar táticas de SEO duvidosas. O IISerpent confia exatamente nessas técnicas para melhorar a classificação de sites de terceiros, explorando as classificações dos sites no servidor comprometido. Mais especificamente, IISerepent usa dois métodos principais:
- Ele redireciona os motores de busca para um site escolhido especificamente, transformando-o em uma página de entrada.
- Ele injeta uma lista de backlinks pré-configurados na resposta HTTP que é entregue aos rastreadores do mecanismo de pesquisa. Este método efetivamente transforma os servidores comprometidos pela ameaça em link farms.
Consequências da Infecção pelo IISerpent
Embora seja verdade que as ações do IISerpent não afetam de forma alguma os visitantes legítimos dos sites, sua presença não deve ser menosprezada. A ameaça sequestra a reputação dos sites comprometidos e emprega práticas antiéticas de SEO para enganar os rastreadores dos mecanismos de pesquisa. Ambas as atividades serão percebidas pelos mecanismos, eventualmente, e podem levar a que os sites envolvidos sejam penalizados, sem que eles sejam participantes voluntários do esquema. Posteriormente, esclarecer suas reputações e remover as penalidades pode ser um processo caro e extremamente demorado. Para evitar esses resultados desagradáveis, mantenha seus servidores IIS atualizados, não baixe extensões de fontes não comprovadas e considere adicionar um aplicativo de firewall ou uma solução de segurança no servidor.
