Una campaña de manipulación de optimización de motores de búsqueda recientemente identificada ha comprometido la seguridad de los Servicios de Información de Internet. (IIS) servidores en todo el mundo. Los investigadores de Trend Micro han descubierto una motivacion economica Ataque de manipulación SEO Aprovechando el malware conocido como BadIIS, Dirigido a organizaciones en Asia y más allá.
Explicación del ataque SEO de BadIIS
BadIIS es una variante sofisticada de malware que permite a los cibercriminales manipular las clasificaciones de los motores de búsqueda y redirigir a usuarios desprevenidos a sitios web ilícitos.. La última campaña, que ha afectado principalmente a la India, Tailandia, y Vietnam, Demuestra cómo los atacantes explotan servidores IIS vulnerables para implementar BadIIS y monetizar sus actividades a través de promociones de juegos de azar ilícitos y distribución de malware..
Según los investigadores, Una vez que un servidor IIS está comprometido, BadIIS modifica sus respuestas a las solicitudes web. Los usuarios que intenten acceder a contenido legítimo serán redirigidos a uno de dos destinos potenciales:
- Sitios web de juegos de azar ilegales: el tráfico redirigido se monetiza a través de operaciones de juegos de azar ilegales, Generar ingresos para los actores de amenazas.
- Servidores maliciosos: los visitantes pueden ser dirigidos sin saberlo a sitios controlados por atacantes que alojan malware o páginas de phishing., poniendo en peligro aún más sus dispositivos y datos personales.
Impacto y víctimas de ataques BadIIS
Aunque la campaña se dirige principalmente a los países asiáticos, incluida la India, Tailandia, Vietnam, las Filipinas, Singapur, Taiwán, Corea del Sur, y Japón: sus efectos se extienden más allá de las fronteras regionales. Los investigadores también han identificado servidores IIS comprometidos en Brasil, y Bangladesh ha sido señalado como un objetivo potencial.
Estos ataques se han observado en servidores IIS propiedad de entidades gubernamentales., universidades, empresas de tecnología, y proveedores de telecomunicaciones. El análisis de las víctimas indica que, si bien la mayoría de ellas residen en la misma región geográfica que el servidor comprometido,, Algunos se han visto afectados después de visitar sitios web infectados alojados en otro lugar..
Se sospecha que detrás de BadIIS hay actores de amenazas que hablan chino
Análisis de registros de dominios, cadenas incrustadas, y las estructuras de código sugieren que la campaña puede ser operada por grupos cibercriminales de habla china.. El comportamiento del malware y las similitudes en la codificación se alinean con tácticas observadas previamente utilizadas por Group11., Un actor de amenazas discutido en un 2021 Libro blanco de Black Hat USA. Notablemente, la nueva variante BadIIS presenta un controlador OnSendResponse en lugar de OnBeginRequest, Un cambio técnico que refleja una metodología de ataque en evolución..
Cómo BadIIS manipula el SEO con fines de lucro
El núcleo de esta campaña gira en torno al fraude SEO, Aprovechar las vulnerabilidades de IIS para manipular los resultados de los motores de búsqueda y dirigir el tráfico a sitios ilegítimos. El malware comprueba los encabezados de solicitud HTTP en busca de campos User-Agent y Referer, Buscando especialmente palabras clave asociadas con motores de búsqueda como Google, Bing, Baidu, y naver. Si se detecta, El malware redirige a los usuarios a sitios de apuestas fraudulentos en lugar del contenido legítimo previsto..
Lista de palabras clave específicas:
Campo de agente de usuario: 360, Baidu, Bing, coco, daum, google, nave, Sogou, yiso
Campo de referencia: baidu.com, bing.com, Coccoc, daum.net, google, naver.com, entonces.com, es.sogou.com, sm.cn
Además del fraude SEO, BadIIS funciona en modo inyector, Insertar código JavaScript malicioso en la respuesta enviada a visitantes legítimos. Esta técnica permite a los atacantes cargar y ejecutar dinámicamente scripts maliciosos., Comprometer aún más la seguridad del usuario.
Cómo proteger los servidores IIS
Servicios de información de Internet de Microsoft (IIS) Es una plataforma de servidor web ampliamente utilizada que impulsa los servicios en línea de numerosas organizaciones.. Sin embargo, Su amplia adopción también lo convierte en un objetivo atractivo para los ciberdelincuentes., como lo demuestra esta última campaña de BadIIS. La explotación de vulnerabilidades de IIS permite a los atacantes inyectar contenido malicioso en sitios web legítimos, Poniendo en riesgo tanto a los propietarios como a los visitantes del sitio.
Las consecuencias de los servidores IIS comprometidos se extienden más allá de los daños técnicos, A medida que las organizaciones corren el riesgo de perder la confianza de los clientes, Enfrentando repercusiones legales, y sufrir daños a su reputación debido a que sus sitios se utilizan para distribuir contenido malicioso.. Las organizaciones pueden adoptar las siguientes prácticas para mitigar cualquier riesgo y evitar ser víctimas de BadIIS o una operación similar, como Asesorado por TrendMicro:
- Identificar y reparar vulnerabilidades: escanee periódicamente los servidores IIS para detectar debilidades de seguridad y aplique actualizaciones críticas para evitar su explotación..
- Supervisar instalaciones de módulos sospechosas: detectar instalaciones inesperadas de módulos IIS, especialmente aquellos ubicados en directorios poco comunes.
- Reforzar los controles de acceso: restringir el acceso del administrador, aplicar la autenticación multifactor (MFA), y usa fuerte, Contraseñas únicas para todas las cuentas privilegiadas.
- Implementar firewalls y medidas de seguridad de red: controlar y monitorear el tráfico de red hacia y desde servidores IIS para limitar la exposición al acceso no autorizado..
- Supervise continuamente los registros de IIS: controle de cerca la actividad del servidor, buscando anomalías como picos de tráfico inusuales o modificaciones inesperadas de archivos.
- Reforzar las configuraciones de IIS: reducir la superficie de ataque deshabilitando servicios y funciones innecesarios, garantizar que solo las funciones esenciales permanezcan activas.
Milena Dimitrova
Un escritor inspirado y administrador de contenido que ha estado con SensorsTechForum desde que comenzó el proyecto.. Un profesional con 10+ años de experiencia en la creación de contenido atractivo. Centrado en la privacidad de los usuarios y el desarrollo de malware, ella cree firmemente en un mundo donde la seguridad cibernética juega un papel central. Si el sentido común no tiene sentido, ella estará allí para tomar notas. Esas notas pueden convertirse más tarde en artículos! Siga Milena @Milenyim
Sígueme: