Cotización de descuento para licencias múltiples
Base de Datos de Amenazas Software malicioso Malware BadIIS

Malware BadIIS

Por Mezo en Software malicioso
Traducir a:

Investigadores de ciberseguridad han descubierto una sofisticada campaña de envenenamiento SEO, presuntamente llevada a cabo por un actor de amenazas de habla china. Los ataques se dirigen principalmente al este y sudeste asiático, con especial atención a Vietnam. Esta campaña está asociada al malware BadIIS, identificado con el nombre CL-UNK-1037. Cabe destacar que el actor de amenazas presenta solapamientos de infraestructura y arquitectura con entidades identificadas como Grupo 9 y DragonRank.

Cómo funciona el envenenamiento SEO

El envenenamiento SEO consiste en manipular los resultados de los motores de búsqueda para engañar a los usuarios y que visiten sitios web inesperados o maliciosos, como portales de juegos de azar o contenido para adultos, con el fin de obtener un beneficio económico. En esta campaña, los atacantes explotan un módulo nativo de IIS, BadIIS, para mostrar contenido malicioso desde servidores legítimos pero comprometidos.

Las funciones de BadIIS incluyen:

  • Interceptar y modificar el tráfico HTTP entrante.
  • Inyectar palabras clave y frases en sitios web de buena reputación para manipular las clasificaciones de los motores de búsqueda.
  • Marcar a los visitantes desde los rastreadores de motores de búsqueda mediante el encabezado User-Agent y obtener contenido contaminado desde un servidor de Comando y Control (C2).

Este enfoque permite que los sitios web comprometidos tengan una alta clasificación en términos de búsqueda específicos, redirigiendo en última instancia a los usuarios desprevenidos a sitios fraudulentos.

El ciclo de vida del ataque

El ataque de envenenamiento SEO sigue un proceso de varios pasos:

Construyendo el señuelo : los atacantes envían contenido manipulado a los rastreadores de motores de búsqueda, haciendo que el sitio web comprometido parezca relevante para términos de búsqueda no relacionados.

Activando la trampa : las víctimas que buscan esos términos se encuentran con sitios de apariencia legítima pero comprometidos, que los redirigen a destinos maliciosos.

En al menos un incidente conocido, los atacantes aprovecharon el acceso a los rastreadores de motores de búsqueda para escalar los ataques creando nuevas cuentas locales, implementando shells web, exfiltrando código fuente e instalando implantes BadIIS adicionales para acceso remoto persistente.

Herramientas y variantes utilizadas

El actor de amenazas emplea múltiples herramientas y variantes para lograr la manipulación SEO y el control del tráfico:

  • Controlador de páginas ASP.NET liviano para proxy de contenido malicioso.
  • Módulo IIS .NET administrado para inspeccionar/modificar solicitudes e inyectar enlaces/palabras clave de spam.
  • Script PHP todo en uno que combina redirección de usuarios y envenenamiento SEO dinámico.

Todos los implantes están personalizados para controlar los resultados del motor de búsqueda y el flujo de tráfico, lo que demuestra un funcionamiento altamente coordinado.

Atribución y evidencia lingüística

Los investigadores tienen un alto grado de certeza de que esta actividad es operada por un actor de amenazas de habla china. Esta conclusión se sustenta en:

  • Evidencia lingüística directa encontrada en el malware y la infraestructura.
  • Vínculos arquitectónicos y operativos que conectan al actor con el cluster del Grupo 9.

La Operación Reescritura ejemplifica cómo los actores de amenazas sofisticados aprovechan el envenenamiento de SEO, las vulnerabilidades de IIS y los ataques a servidores web para redirigir el tráfico y realizar ataques con motivaciones financieras.

Tendencias

Mas Visto

Cargando...