Uma campanha de manipulação de otimização de mecanismos de busca recentemente identificada comprometeu a segurança dos Serviços de Informações da Internet (IIS) servidores em todo o mundo. Pesquisadores da Trend Micro descobriram uma motivação financeira Ataque de manipulação de SEO aproveitando o malware conhecido como BadIIS, visando organizações em toda a Ásia e além.
O ataque BadIIS SEO explicado
BadIIS é uma variante sofisticada de malware que permite que os criminosos cibernéticos manipulem as classificações dos mecanismos de busca e redirecionem usuários desavisados para sites ilícitos. A última campanha, que afetou principalmente a Índia, Tailândia, e Vietnã, demonstra como os invasores exploram servidores IIS vulneráveis para implantar o BadIIS e monetizar suas atividades por meio de promoções de jogos de azar ilícitos e distribuição de malware.
De acordo com pesquisadores, uma vez que um servidor IIS é comprometido, O BadIIS altera suas respostas às solicitações da web. Os usuários que tentarem acessar conteúdo legítimo serão redirecionados para um dos dois destinos potenciais:
- Sites de jogos de azar ilegais – O tráfego redirecionado é monetizado por meio de operações de jogos de azar ilícitos, gerando receita para agentes de ameaças.
- Servidores maliciosos – Os visitantes podem ser direcionados inadvertidamente para sites controlados por invasores que hospedam malware ou páginas de phishing, colocando ainda mais em risco seus dispositivos e dados pessoais.
Impacto e vítimas do ataque BadIIS
Embora a campanha tenha como alvo principal os países asiáticos, incluindo a Índia, Tailândia, Vietnã, as Filipinas, Cingapura, Taiwan, Coreia do Sul, e Japão — os seus efeitos estendem-se para além das fronteiras regionais. Pesquisadores também identificaram servidores IIS comprometidos no Brasil, e Bangladesh foi sinalizado como um alvo potencial.
Esses ataques foram observados em servidores IIS de propriedade de entidades governamentais, universidades, empresas de tecnologia, e provedores de telecomunicações. A análise das vítimas indica que, embora a maioria das vítimas resida na mesma região geográfica do servidor comprometido, alguns foram impactados após visitar sites infectados hospedados em outros lugares.
Atores de ameaças de língua chinesa são suspeitos de estar por trás do BadIIS
Análise de registros de domínio, sequências incorporadas, e estruturas de código sugerem que a campanha pode ser operada por grupos cibercriminosos de língua chinesa. O comportamento do malware e as semelhanças de codificação se alinham com as táticas observadas anteriormente usadas pelo Group11, um ator de ameaça discutido em um 2021 Livro branco da Black Hat USA. Notavelmente, a nova variante BadIIS apresenta um manipulador OnSendResponse em vez de OnBeginRequest, uma mudança técnica que reflete uma metodologia de ataque em evolução.
Como o BadIIS manipula o SEO para obter lucro
O cerne desta campanha gira em torno da fraude de SEO, aproveitando vulnerabilidades do IIS para manipular resultados de mecanismos de busca e direcionar tráfego para sites ilegítimos. O malware verifica os cabeçalhos de solicitação HTTP para os campos User-Agent e Referer, procurando principalmente por palavras-chave associadas a mecanismos de busca como o Google, Bing, Baidu, e Naver. Se for detectada, o malware redireciona os usuários para sites de jogos de azar fraudulentos em vez do conteúdo legítimo pretendido.
Lista de palavras-chave segmentadas:
Campo User-Agent: 360, Baidu-sama, bing, coco, daum, Google, Navegador, sogou, Sim, você
Campo de referência: baidu.com, bing.com, Coccoc, daum.net, Google, naver.com, so.com, sogou.com, sm.cn
Além da fraude de SEO, BadIIS opera no modo injetor, inserir código JavaScript malicioso na resposta enviada a visitantes legítimos. Esta técnica permite que os invasores carreguem e executem scripts maliciosos dinamicamente, comprometendo ainda mais a segurança do usuário.
Como proteger servidores IIS
Serviços de Informação da Internet da Microsoft (IIS) é uma plataforma de servidor web amplamente utilizada que alimenta os serviços online de inúmeras organizações. Contudo, sua ampla adoção também o torna um alvo atraente para os cibercriminosos, como evidenciado por esta última campanha do BadIIS. Explorar vulnerabilidades do IIS permite que invasores injetem conteúdo malicioso em sites legítimos, colocando em risco tanto os proprietários do site quanto os visitantes.
As consequências de servidores IIS comprometidos vão além dos danos técnicos, à medida que as organizações correm o risco de perder a confiança dos clientes, enfrentando repercussões legais, e sofrendo danos à reputação devido aos seus sites serem usados para distribuir conteúdo malicioso. As organizações podem adotar as seguintes práticas para mitigar quaisquer riscos e evitar serem vítimas do BadIIS ou de uma operação semelhante, Como aconselhado pela TrendMicro:
- Identificar e corrigir vulnerabilidades – Verificar regularmente os servidores IIS em busca de pontos fracos de segurança e aplicar atualizações críticas para evitar exploração.
- Monitore instalações de módulos suspeitos – Detecte instalações inesperadas de módulos do IIS, especialmente aqueles localizados em diretórios incomuns.
- Fortalecer os controles de acesso – Restringir o acesso do administrador, aplicar autenticação multifator (MFA), e use forte, senhas exclusivas para todas as contas privilegiadas.
- Implantar firewalls e medidas de segurança de rede – Controlar e monitorar o tráfego de rede de e para servidores IIS para limitar a exposição a acesso não autorizado.
- Monitore continuamente os logs do IIS – Fique de olho na atividade do servidor, procurando por anomalias como picos de tráfego incomuns ou modificações inesperadas de arquivos.
- Configurações do IIS reforçadas – Reduza a superfície de ataque desabilitando serviços e recursos desnecessários, garantindo que apenas as funções essenciais permaneçam ativas.
Milena Dimitrova
Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim
Me siga: