IISerpent Trojan
El troyano IISerpent es una peculiar amenaza de malware que se dirige al software del servidor web Internet Information Services de Microsoft. La amenaza se inyecta en una instalación de IIS como una extensión dañada. A diferencia de otras amenazas de malware de ISS, el objetivo de IISerpent no es recopilar información confidencial (números de tarjetas de crédito / débito) o ejecutar comandos de puerta trasera en los sistemas comprometidos. La funcionalidad de IISerpent se puede describir mejor como un fraude de SEO (optimización de motores de búsqueda) ofrecido como un servicio. La amenaza emplea técnicas de SEO poco éticas, un comportamiento conocido como Black Hat SEO, e intenta mejorar la clasificación de las páginas de terceros, probablemente pertenecientes a los clientes que pagan por los servicios de los piratas informáticos.
Tabla de contenido
Detalles técnicos
IISerpent es un módulo IIS nativo. Se implementa como una DLL de C ++ y se agrega al archivo % windir% \ system32 \ inetsrv \ config \ ApplicationHost.config . Hacerlo asegura tanto su ejecución como su persistencia en el sistema infectado. Una vez establecido por completo, el malware comenzará a interceptar todas las solicitudes HTTP entrantes a los sitios web alojados en el servidor. Sin embargo, IISerpent no afectará directamente al servidor comprometido ni a los usuarios del servidor. El malware ignorará por completo cualquier solicitud proveniente de visitantes legítimos. Solo está interesado en las solicitudes asociadas con los rastreadores de los motores de búsqueda y luego les muestra contenido diferente al que está en la página real. El nuevo contenido se obtiene del servidor C&C (Command-and-Control) de la operación o de un archivo de configuración local.
Técnicas de SEO empleadas
Los rastreadores de motores de búsqueda son responsables de rastrear Internet y analizar el contenido de las páginas que encuentran. El contenido escaneado por estos bots se ejecuta a través de un algoritmo complejo que determina la clasificación de cada página relacionada con términos de búsqueda particulares. Aumentar la clasificación de su página significa un aumento en la visibilidad y el tráfico potencial.
Para lograr este objetivo, algunos operadores de páginas están dispuestos a emplear tácticas de SEO turbias. IISerpent se basa exactamente en esas técnicas para mejorar la clasificación de los sitios web de terceros mediante la explotación de la clasificación de los sitios web en el servidor comprometido. Más específicamente, IISerepent utiliza dos métodos principales:
- Redirige los motores de búsqueda a un sitio web específicamente elegido, convirtiéndolo en una página de entrada.
- Inyecta una lista de backlinks preconfigurados en la respuesta HTTP que se entrega a los rastreadores del motor de búsqueda. Este método convierte efectivamente los servidores comprometidos por la amenaza en granjas de enlaces.
Consecuencias de la infección por IISerpent
Si bien es cierto que las acciones de IISerpent no afectan a los visitantes legítimos de los sitios de ninguna manera, su presencia no debe tomarse a la ligera. La amenaza secuestra la reputación de los sitios web comprometidos y emplea prácticas de SEO poco éticas para engañar a los rastreadores de los motores de búsqueda. Ambas actividades serán notadas por los motores, eventualmente, y pueden conducir a que los sitios web involucrados sean penalizados, sin que sean participantes dispuestos en el esquema. Posteriormente, aclarar su reputación y eliminar las sanciones podría ser un proceso costoso y extremadamente lento. Para evitar resultados tan desagradables, mantenga sus servidores IIS actualizados, no descargue extensiones de fuentes no probadas y considere agregar una aplicación de firewall o una solución de seguridad en el servidor.
