Ciberseguridad 360 | DragonRank explota servidores IIS con malware BadIIS

Se han observado amenazas dirigidas a servidores de Internet Information Services (IIS) en Asia como parte de una campa�a de manipulaci�n de la optimizaci�n de motores de b�squeda (SEO) dise�ada para instalar el malware BadIIS.

"Es probable que la campa�a tenga una motivaci�n econ�mica, ya que redirigir a los usuarios a sitios web de apuestas ilegales demuestra que los atacantes despliegan BadIIS con fines lucrativos", se�alan Ted Lee y Lenart Bermejo, investigadores de Trend Micro, en un an�lisis publicado la semana pasada,

Los objetivos de la campa�a incluyen servidores IIS ubicados en India, Tailandia, Vietnam, Filipinas, Singapur, Taiw�n, Corea del Sur, Jap�n y Brasil. Estos servidores est�n asociados a la administraci�n p�blica, universidades, empresas tecnol�gicas y sectores de telecomunicaciones.

Las peticiones a los servidores comprometidos pueden recibir contenidos alterados por los atacantes, que van desde redirecciones a sitios de apuestas hasta la conexi�n a servidores fraudulentos que alojan malware o p�ginas de recogida de credenciales.

Se sospecha que esta actividad es obra de un grupo de amenazas de habla china conocido como DragonRank, del que Cisco Talos document� el a�o pasado que distribu�a el malware BadIIS mediante esquemas de manipulaci�n SEO.

A su vez, se dice que la campa�a de DragonRank est� asociada a una entidad denominada Grupo 9 por ESET en 2021 que aprovecha servidores IIS comprometidos para servicios proxy y fraude SEO.

Trend Micro, sin embargo, se�al� que los artefactos de malware detectados comparten similitudes con una variante utilizada por el Grupo 11, presentando dos modos diferentes para llevar a cabo el fraude SEO e inyectar c�digo JavaScript sospechoso en las respuestas a las solicitudes de los visitantes leg�timos.

"El BadIIS instalado puede alterar la informaci�n del encabezado de respuesta HTTP solicitada al servidor web", dijeron los investigadores. "Comprueba los campos 'User-Agent' y 'Referer' en la cabecera HTTP recibida".

"Si estos campos contienen sitios de portales de b�squeda o palabras clave espec�ficas, BadIIS redirige al usuario a una p�gina asociada a un sitio de juego ilegal en l�nea en lugar de a una p�gina web leg�tima".

Silent Push ha vinculado a la red de distribuci�n de contenidos (CDN) Funnull, con sede en China, con una pr�ctica que denomina blanqueo de infraestructuras, en la que los autores de amenazas alquilan direcciones IP a proveedores de alojamiento convencionales, como Amazon Web Services (AWS) y Microsoft Azure, y las utilizan para alojar sitios web delictivos.

Funnull habr�a alquilado m�s de 1.200 IP de Amazon y cerca de 200 IP de Microsoft, que ya han sido retiradas. Se ha descubierto que la infraestructura maliciosa, apodada Triad Nexus, alimenta esquemas de phishing en comercios, estafas con cebos rom�nticos y operaciones de blanqueo de dinero a trav�s de sitios de apuestas falsos.

"Pero cada pocas semanas se adquieren nuevas IP", afirma la empresa. "Es probable que FUNNULL est� utilizando cuentas fraudulentas o robadas para adquirir estas IPs y asignarlas a sus CNAMEs".

Fuente: thehackernews