Una campagna di manipolazione dell'ottimizzazione dei motori di ricerca recentemente identificata ha compromesso la sicurezza dei servizi di informazione Internet (IIS) server in tutto il mondo. I ricercatori di Trend Micro hanno scoperto una motivazione finanziaria Attacco di manipolazione SEO sfruttando il malware noto come BadIIS, mirati alle organizzazioni in tutta l'Asia e oltre.
L'attacco SEO BadIIS spiegato
BadIIS è una variante sofisticata del malware che consente ai criminali informatici di manipolare le classifiche dei motori di ricerca e reindirizzare gli utenti ignari a siti Web illeciti. L'ultima campagna, che ha colpito principalmente l'India, Thailandia, e Vietnam, dimostra come gli aggressori sfruttano i server IIS vulnerabili per distribuire BadIIS e monetizzare le loro attività attraverso promozioni di gioco d'azzardo illecite e distribuzione di malware.
Secondo i ricercatori, una volta che un server IIS è compromesso, BadIIS modifica le sue risposte alle richieste web. Gli utenti che tentano di accedere a contenuti legittimi verranno invece reindirizzati a una delle due potenziali destinazioni:
- Siti web di gioco d’azzardo illegali – Il traffico reindirizzato viene monetizzato attraverso operazioni di gioco d’azzardo illegali, generare entrate per gli attori della minaccia.
- Server dannosi: i visitatori potrebbero essere indirizzati inconsapevolmente a siti controllati dagli aggressori che ospitano malware o pagine di phishing, mettendo ulteriormente a repentaglio i loro dispositivi e i loro dati personali.
Impatto e vittime dell'attacco BadIIS
Sebbene la campagna sia rivolta principalmente ai paesi asiatici, compresa l'India, Thailandia, Vietnam, le Filippine, Singapore, Taiwan, Corea del Sud, e il Giappone: i suoi effetti si estendono oltre i confini regionali. I ricercatori hanno anche identificato server IIS compromessi in Brasile, e il Bangladesh è stato segnalato come un potenziale obiettivo.
Questi attacchi sono stati osservati sui server IIS di proprietà di enti governativi, università, aziende tecnologiche, e fornitori di telecomunicazioni. L'analisi delle vittime indica che, sebbene la maggior parte delle vittime risieda nella stessa regione geografica del server compromesso,, alcuni sono stati colpiti dopo aver visitato siti web infetti ospitati altrove.
Si sospetta che dietro BadIIS ci siano attori di minacce di lingua cinese
Analisi delle registrazioni di dominio, stringhe incorporate, e le strutture del codice suggeriscono che la campagna potrebbe essere gestita da gruppi di criminali informatici di lingua cinese. Il comportamento del malware e le somiglianze nella codifica sono in linea con le tattiche osservate in precedenza utilizzate da Group11, un attore della minaccia discusso in un 2021 Libro bianco di Black Hat USA. In particolare, la nuova variante BadIIS presenta un gestore OnSendResponse invece di OnBeginRequest, un cambiamento tecnico che riflette una metodologia di attacco in evoluzione.
Come BadIIS manipola la SEO a scopo di lucro
Il fulcro di questa campagna ruota attorno alla frode SEO, sfruttando le vulnerabilità di IIS per manipolare i risultati dei motori di ricerca e indirizzare il traffico verso siti illegittimi. Il malware controlla le intestazioni delle richieste HTTP per i campi User-Agent e Referer, in particolare alla ricerca di parole chiave associate a motori di ricerca come Google, Bing, Baidu, e Naver. Se rilevato, il malware reindirizza gli utenti a siti di gioco fraudolenti anziché al contenuto legittimo previsto.
Elenco delle parole chiave mirate:
Campo User-Agent: 360, baidu, bing, cocco, dam, Google, naver, sogou, yiso
Campo di riferimento: baidu.com, bing.com, Coccoc, daum.net, Google, naver.com, così.com, sogou.com, sm.cn
Oltre alle frodi SEO, BadIIS funziona in modalità iniettore, inserimento di codice JavaScript dannoso nella risposta inviata ai visitatori legittimi. Questa tecnica consente agli aggressori di caricare ed eseguire dinamicamente script dannosi, compromettere ulteriormente la sicurezza dell'utente.
Come proteggere i server IIS
Servizi di informazione Internet di Microsoft (IIS) è una piattaforma di server web ampiamente utilizzata che alimenta i servizi online di numerose organizzazioni. Tuttavia, la sua ampia adozione lo rende anche un bersaglio allettante per i criminali informatici, come dimostra questa ultima campagna BadIIS. Sfruttando le vulnerabilità di IIS, gli aggressori possono iniettare contenuti dannosi in siti Web legittimi, mettendo a rischio sia i proprietari del sito che i visitatori.
Le conseguenze dei server IIS compromessi vanno oltre i danni tecnici, poiché le organizzazioni rischiano di perdere la fiducia dei clienti, affrontare ripercussioni legali, e subiscono danni alla reputazione perché i loro siti vengono utilizzati per distribuire contenuti dannosi. Le organizzazioni possono adottare le seguenti pratiche per mitigare i rischi ed evitare di cadere vittime di BadIIS o di un'operazione simile, come consigliato da TrendMicro:
- Identificare e correggere le vulnerabilità: eseguire regolarmente la scansione dei server IIS per individuare debolezze della sicurezza e applicare aggiornamenti critici per prevenire lo sfruttamento.
- Monitora le installazioni di moduli sospetti: rileva le installazioni di moduli IIS inaspettate, in particolare quelli che si trovano in directory non comuni.
- Rafforzare i controlli di accesso – Limitare l’accesso dell’amministratore, applicare l'autenticazione a più fattori (MFA), e usa forte, password univoche per tutti gli account privilegiati.
- Distribuisci firewall e misure di sicurezza di rete: controlla e monitora il traffico di rete da e verso i server IIS per limitare l'esposizione ad accessi non autorizzati.
- Monitorare costantemente i log IIS: tenere d'occhio l'attività del server, alla ricerca di anomalie come picchi di traffico insoliti o modifiche inaspettate dei file.
- Rafforzare le configurazioni IIS: ridurre la superficie di attacco disabilitando servizi e funzionalità non necessari, assicurando che solo le funzioni essenziali rimangano attive.
Milena Dimitrova
Uno scrittore ispirato e un gestore di contenuti che è stato con SensorsTechForum dall'inizio del progetto. Un professionista con 10+ anni di esperienza nella creazione di contenuti accattivanti. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli! Seguire Milena @Milenyim
Seguimi: