Malware BadIIS
Un actor de amenazas que se comunica en chino simplificado ha sido vinculado a una nueva campaña dirigida a países de Asia y Europa. El objetivo de la campaña es manipular las clasificaciones de los motores de búsqueda mediante tácticas de SEO. Esta campaña de SEO de Black Hat, apodada DragonRank por los investigadores de ciberseguridad, ha afectado a regiones como Tailandia, India, Corea del Sur, Bélgica, los Países Bajos y China.
DragonRank compromete los servicios de aplicaciones web para implementar shells web, que luego se utilizan para recopilar información del sistema y distribuir malware como PlugX y BadIIS. Estos ataques han provocado la vulneración de 35 servidores de Internet Information Services (IIS), con el objetivo final de instalar malware BadIIS, identificado por primera vez en agosto de 2021.
Tabla de contenido
Los atacantes se apoderan de los servidores IIS comprometidos
El malware está diseñado específicamente para facilitar el uso de proxyware y el fraude SEO al convertir el servidor IIS comprometido en un punto de retransmisión para comunicaciones fraudulentas entre los actores de amenazas y sus víctimas. Además, puede alterar el contenido que se ofrece a los motores de búsqueda para manipular algoritmos y mejorar las clasificaciones de los sitios web que son el objetivo de los atacantes.
Uno de los hallazgos más llamativos de la investigación es la versatilidad del malware IIS, en particular su uso para el fraude SEO. Este malware se explota para manipular los algoritmos de los motores de búsqueda, mejorando la visibilidad y la reputación de sitios web de terceros.
Los ataques más recientes descubiertos por los investigadores cubren una amplia gama de industrias, incluidas la joyería, los medios de comunicación, los servicios de investigación, la atención médica, la producción de video y televisión, la fabricación, el transporte, las organizaciones religiosas y espirituales, los servicios de TI, los asuntos internacionales, la agricultura, los deportes e incluso el feng shui.
Cadena de ataques atribuida a DragonRank
El ataque comienza explotando vulnerabilidades conocidas en aplicaciones web como phpMyAdmin y WordPress para implementar el shell web de código abierto ASPXspy. Este shell web luego sirve como puerta de entrada para introducir herramientas adicionales en el entorno de destino.
El objetivo principal de la campaña es comprometer los servidores IIS que alojan sitios web corporativos. Los atacantes utilizan estos servidores para instalar malware BadIIS y los utilizan como plataformas para actividades fraudulentas, que a menudo incluyen palabras clave relacionadas con la pornografía y el sexo.
Una característica notable del malware es su capacidad de hacerse pasar por el rastreador del motor de búsqueda de Google en su cadena User-Agent cuando se conecta al servidor Command-and-Control (C2). Esta táctica le permite evadir algunas medidas de seguridad del sitio web.
Los actores amenazantes se involucran en la manipulación de SEO
El actor de amenazas manipula el SEO explotando o alterando los algoritmos de los motores de búsqueda para mejorar la clasificación de un sitio web en los resultados de búsqueda. Esto se hace para dirigir el tráfico a sitios fraudulentos, aumentar la visibilidad del contenido fraudulento o perjudicar a los competidores inflando o desinflando artificialmente las clasificaciones.
DragonRank se destaca de otros grupos de SEO Black Hat debido a su enfoque de vulnerar servidores adicionales dentro de la red del objetivo. Mantiene el control sobre estos servidores utilizando PlugX, una puerta trasera que suelen utilizar los actores de amenazas chinos, y varias herramientas de recolección de credenciales como Mimikatz , PrintNotifyPotato, BadPotato y GodPotato.
Técnicas maliciosas y presencia en línea
El malware PlugX utilizado en estos ataques emplea técnicas de carga lateral de DLL. La DLL de carga que inicia la carga útil cifrada utiliza el mecanismo de manejo de excepciones estructurado (SEH) de Windows para garantizar que el archivo legítimo (es decir, el binario propenso a la carga lateral de DLL) pueda cargar PlugX sin activar ninguna alerta de seguridad.
Los investigadores han encontrado evidencia de que el actor de amenazas opera en Telegram bajo el nombre de usuario 'tttseo' y en la aplicación de mensajería instantánea QQ, donde realizan transacciones comerciales ilegales con los clientes. También brindan lo que parece ser un servicio al cliente de alta calidad, creando estrategias promocionales adaptadas a las necesidades de sus clientes.
Los clientes pueden enviar palabras clave y sitios web que desean promocionar, y DragonRank diseña una estrategia basada en estas especificaciones. El grupo también se centra en orientar las promociones a países e idiomas específicos, ofreciendo un enfoque personalizado y exhaustivo del marketing online.
