Los investigadores de ciberseguridad están llamando la atención sobre una campaña de envenenamiento de optimización de motores de búsqueda (SEO) que probablemente realiza un actor de amenaza de deje china que usa un malware llamado Badis En ataques dirigidos al este y sudeste oriental, particularmente con un enfoque en Vietnam.
La actividad, doblada Operation Rewriteestá siendo rastreado por Palo Stop Networks Unit 42 bajo el apodo CL-Gunk-1037, donde «CL» representa el clúster y «unk» se refiere a una motivación desconocida. Se ha descubierto que el actor de amenaza comparte infraestructura y superposiciones arquitectónicas con una entidad denominada Género 9 por ESET y DragonRank.
«Para realizar envenenamiento por SEO, los atacantes manipulan los resultados de los motores de búsqueda para engañar a las personas para que visiten sitios web inesperados o no deseados (por ejemplo, sitios web de juegos de azar y pornografía) para obtener ganancias financieras», dijo el investigador de seguridad Yoav Zemah. «Este ataque utilizó un módulo de Servicios de Información de Internet Native Native (IIS) astuto llamado Badiis».
Badiis está diseñado para interceptar y modificar el tráfico web HTTP entrante con el objetivo final de servir contenido astuto a los visitantes del sitio utilizando servidores comprometidos legítimos. En otras palabras, la idea es manipular los resultados de los motores de búsqueda para dirigir el tráfico a un destino de su selección inyectando palabras esencia y frases en sitios web legítimos con una buena reputación de dominio.
El módulo IIS está equipado para los visitantes de la bandera que se originan en los rastreadores de motores de búsqueda al inspeccionar el encabezado del agente de becario en la solicitud HTTP, lo que le permite contactar a un servidor extranjero para obtener el contenido cáustico para alterar el SEO y hacer que el motor de búsqueda indexe el sitio de la víctima como un resultado relevante para los términos encontrados en el comando y el control (C2) respuesta del servidor.
Una vez que los sitios han sido envenenados de esta modo, todo lo que se necesita para completar el esquema es atrapar a las víctimas que buscan esos términos en un motor de búsqueda y terminan haciendo clic en el sitio auténtico pero comprometido, que finalmente las redirigen a un sitio de estafa.
En al menos un incidente investigado por la Mecanismo 42, se dice que los atacantes aprovecharon su ataque a un rastreador de motores de búsqueda para pivotar a otros sistemas, crear nuevas cuentas de usuarios locales y eliminar los shells web para establecer el ataque remoto persistente, exfiltrar el código fuente y cargar implantes BADIIS.
«El mecanismo primero construye un señuelo y luego brota la trampa», dijo la Mecanismo 42. «El señuelo está construido por atacantes que alimentan contenido manipulado para rastreadores de motores de búsqueda. Esto hace que el sitio web comprometido se clasifique para términos adicionales a los que de otro modo no tendría conexión. El servidor web comprometido actúa como un proxy inverso, un servidor intermediario que obtiene contenido de otros servidores y lo presenta como suyo».
Algunas de las otras herramientas desplegadas por los actores de amenaza en sus ataques incluyen tres variantes diferentes de módulos Badiis –
- Un manejador de página ASP.NET ligero que logra el mismo objetivo de envenenamiento por SEO al proxyizar contenido astuto de un servidor remoto C2
- Un módulo de .NET IIS administrado que puede inspeccionar y modificar cada solicitud que pase a través de la aplicación para inyectar enlaces y palabras esencia de un servidor C2 diferente, y
- Un script PHP todo en uno que combina la redirección de los usuarios y el envenenamiento dinámico de SEO
«El actor de amenaza adaptó a todos los implantes al objetivo de manipular los resultados del motor de búsqueda y controlar el flujo de tráfico», dijo la Mecanismo 42. «Evaluamos con gran confianza que un actor de deje china está operando esta actividad, basada en evidencia gramática directa, así como los vínculos de infraestructura y casa entre este actor y el clúster del Género 9».
La divulgación se produce semanas luego de que ESET detalló un clúster de amenazas previamente indocumentado denominado Ghostredirector que ha conseguido comprometer al menos 65 servidores de Windows ubicados principalmente en Brasil, Tailandia y Vietnam con un módulo de IIS módulo de IIS con nombre en codenado Gamshen para favorecer la fraude de SEO.
