Une campagne de manipulation d'optimisation des moteurs de recherche récemment identifiée a compromis la sécurité des services d'information Internet (IIS) serveurs dans le monde entier. Les chercheurs de Trend Micro ont découvert une entreprise motivée par des raisons financières. Attaque de manipulation SEO exploitant un logiciel malveillant connu sous le nom de BadIIS, ciblant les organisations à travers l'Asie et au-delà.
Explication de l'attaque BadIIS SEO
BadIIS est une variante sophistiquée de malware qui permet aux cybercriminels de manipuler les classements des moteurs de recherche et de rediriger les utilisateurs sans méfiance vers des sites Web illicites.. La dernière campagne, qui a principalement touché l’Inde, Thaïlande, et le Vietnam, montre comment les attaquants exploitent les serveurs IIS vulnérables pour déployer BadIIS et monétiser leurs activités via des promotions de jeux de hasard illicites et la distribution de logiciels malveillants.
Selon les chercheurs, une fois qu'un serveur IIS est compromis, BadIIS modifie ses réponses aux requêtes Web. Les utilisateurs qui tentent d'accéder à du contenu légitime seront plutôt redirigés vers l'une des deux destinations potentielles:
- Sites de jeux d’argent illégaux – Le trafic redirigé est monétisé par des opérations de jeux d’argent illicites, générer des revenus pour les acteurs malveillants.
- Serveurs malveillants – Les visiteurs peuvent être dirigés sans le savoir vers des sites contrôlés par des attaquants hébergeant des logiciels malveillants ou des pages de phishing, mettant davantage en danger leurs appareils et leurs données personnelles.
Impact et victimes de l'attaque BadIIS
Bien que la campagne cible principalement les pays asiatiques, y compris l'Inde, Thaïlande, Viêt-Nam, Les Philippines, Singapour, Taiwan, Corée du Sud, et le Japon – ses effets s’étendent au-delà des frontières régionales. Les chercheurs ont également identifié des serveurs IIS compromis au Brésil, et le Bangladesh a été signalé comme une cible potentielle.
Ces attaques ont été observées sur des serveurs IIS appartenant à des entités gouvernementales, les universités, entreprises technologiques, et fournisseurs de télécommunications. L'analyse des victimes indique que même si la plupart des victimes résident dans la même région géographique que le serveur compromis, certains ont été touchés après avoir visité des sites Web infectés hébergés ailleurs.
Des acteurs malveillants parlant chinois seraient à l'origine de BadIIS
Analyse des enregistrements de domaines, chaînes incorporées, et les structures de code suggèrent que la campagne pourrait être menée par des groupes de cybercriminels parlant chinois. Le comportement du malware et les similitudes de codage correspondent aux tactiques précédemment observées utilisées par Group11, un acteur de menace discuté dans un 2021 Livre blanc de Black Hat USA. Notamment, la nouvelle variante BadIIS comporte un gestionnaire OnSendResponse au lieu de OnBeginRequest, un changement technique qui reflète une méthodologie d'attaque en évolution.
Comment BadIIS manipule le référencement pour le profit
Le cœur de cette campagne tourne autour de la fraude SEO, exploiter les vulnérabilités IIS pour manipuler les résultats des moteurs de recherche et générer du trafic vers des sites illégitimes. Le logiciel malveillant vérifie les en-têtes de requête HTTP pour les champs User-Agent et Referer, je recherche particulièrement des mots-clés associés aux moteurs de recherche tels que Google, Bing, Baidu, et Naver. Si détecté, le logiciel malveillant redirige les utilisateurs vers des sites de jeu frauduleux plutôt que vers le contenu légitime prévu.
Liste des mots clés ciblés:
Champ Agent Utilisateur: 360, Baidu, bing, cacahuète, daum, google, navigateur, sogou, yisou
Champ de référence: baidu.com, bing.com, Coccoc, daum.net, google, naver.com, donc.com, sogou.com, sm.cn
En plus de la fraude SEO, BadIIS fonctionne en mode injecteur, insertion de code JavaScript malveillant dans la réponse envoyée aux visiteurs légitimes. Cette technique permet aux attaquants de charger et d'exécuter dynamiquement des scripts malveillants, compromettant davantage la sécurité des utilisateurs.
Comment protéger les serveurs IIS
Services d'information Internet de Microsoft (IIS) est une plate-forme de serveur Web largement utilisée qui alimente les services en ligne de nombreuses organisations. Cependant, sa large adoption en fait également une cible attrayante pour les cybercriminels, comme en témoigne cette dernière campagne BadIIS. L'exploitation des vulnérabilités IIS permet aux attaquants d'injecter du contenu malveillant dans des sites Web légitimes, mettant en danger à la fois les propriétaires du site et les visiteurs.
Les conséquences des serveurs IIS compromis vont au-delà des dommages techniques, alors que les organisations risquent de perdre la confiance des clients, face à des répercussions juridiques, et subissent une atteinte à leur réputation en raison de l'utilisation de leurs sites pour diffuser du contenu malveillant. Les organisations peuvent adopter les pratiques suivantes pour atténuer les risques et éviter d'être victimes de BadIIS ou d'une opération similaire, comme conseillé par TrendMicro:
- Identifier et corriger les vulnérabilités – Analyser régulièrement les serveurs IIS à la recherche de faiblesses de sécurité et appliquer des mises à jour critiques pour empêcher toute exploitation.
- Surveiller les installations de modules suspectes – Détecter les installations de modules IIS inattendues, en particulier ceux situés dans des répertoires peu courants.
- Renforcer les contrôles d’accès – Restreindre l’accès des administrateurs, appliquer l'authentification multifacteur (MFA), et utiliser fort, mots de passe uniques pour tous les comptes privilégiés.
- Déployer des pare-feu et des mesures de sécurité réseau – Contrôler et surveiller le trafic réseau vers et depuis les serveurs IIS pour limiter l'exposition aux accès non autorisés.
- Surveillez en permanence les journaux IIS – Gardez un œil attentif sur l’activité du serveur, recherche d'anomalies telles que des pics de trafic inhabituels ou des modifications de fichiers inattendues.
- Renforcez les configurations IIS – Réduisez la surface d’attaque en désactivant les services et fonctionnalités inutiles, garantir que seules les fonctions essentielles restent actives.
Milena Dimitrova
Un écrivain et gestionnaire de contenu inspiré qui travaille avec SensorsTechForum depuis le début du projet. Un professionnel avec 10+ années d'expérience dans la création de contenu engageant. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles! Suivre Milena @Milenyim
Suivez-moi: