Um "ator de língua chinesa simplificada" foi ligado a uma nova campanha que visou múltiplos países na Ásia e Europa com o objetivo final de realizar manipulação de classificação de busca (SEO rank manipulation).
O agrupamento de SEO black hat foi codinomeado DragonRank pela Cisco Talos, com uma pegada de vítimas espalhadas pela Tailândia, Índia, Coreia, Bélgica, Países Baixos e China.
"DragonRank explora os serviços de aplicações web das vítimas para implantar um web shell e utiliza-o para coletar informações do sistema e lançar malware como PlugX e BadIIS, executando várias utilidades de colheita de credenciais," disse o pesquisador de segurança Joey Chen.
Os ataques levaram a comprometimentos de 35 servidores Internet Information Services (IIS) com o objetivo final de implantar o malware BadIIS, que foi primeiro documentado pela ESET em agosto de 2021.
Ele é especificamente projetado para facilitar proxy ware e fraude de SEO ao transformar o servidor IIS comprometido em um ponto de retransmissão para comunicações maliciosas entre seus clientes (isto é, outros atores de ameaças) e suas vítimas.
Além disso, ele pode modificar o conteúdo servido aos motores de busca para manipular algoritmos de busca e aumentar a classificação de outros sites de interesse dos atacantes.
"Um dos aspectos mais surpreendentes da investigação é quão versátil o malware IIS é, e a [detecção de] esquema criminal de fraude de SEO, onde o malware é mal utilizado para manipular algoritmos dos motores de busca e ajudar a aumentar a reputação de websites terceiros," disse a pesquisadora de segurança Zuzana Hromcova.
O conjunto mais recente de ataques destacado pela Talos abrange um amplo espectro de verticais da indústria, incluindo joalheria, mídia, serviços de pesquisa, saúde, produção de vídeo e televisão, manufatura, transporte, organizações religiosas e espirituais, serviços de TI, assuntos internacionais, agricultura, esportes e feng shui.
As cadeias de ataque começam aproveitando falhas de segurança conhecidas em aplicações web como phpMyAdmin e WordPress para soltar o web shell open-source ASPXspy, que então atua como um conduto para introduzir ferramentas adicionais no ambiente dos alvos.
O objetivo primário da campanha é comprometer os servidores IIS que hospedam sites corporativos, abusando deles para implantar o malware BadIIS e efetivamente repurposá-los como uma plataforma de lançamento para operações de golpes, utilizando palavras-chave relacionadas a pornografia e sexo.
Outro aspecto significativo do malware é sua habilidade de se disfarçar como o crawler do motor de busca Google em sua string User-Agent quando retransmite a conexão para o servidor de comando e controle (C2), permitindo assim que ele passe por algumas medidas de segurança do site.
"O ator de ameaça se engaja em manipulação de SEO ao alterar ou explorar algoritmos de motor de busca para melhorar a classificação de um site nos resultados de pesquisa," Chen explicou.
Eles conduzem esses ataques para direcionar tráfego para sites maliciosos, aumentar a visibilidade de conteúdo fraudulento, ou perturbar concorrentes inflando ou desinflando artificialmente classificações.
Uma maneira importante pela qual DragonRank se distingue de outros grupos de cibercrime de SEO black hat é na maneira que tenta violar servidores adicionais dentro da rede da vítima e manter controle sobre eles usando PlugX, um backdoor amplamente compartilhado por atores de ameaça chineses, e vários programas de colheita de credenciais como Mimikatz, PrintNotifyPotato, BadPotato e GodPotato.
Embora o malware PlugX usado nos ataques dependa de técnicas de side-loading de DLL, a DLL carregadora responsável por lançar payload criptografado usa o mecanismo Windows Structured Exception Handling (SEH) numa tentativa de assegurar que o arquivo legítimo (isto é, o binário suscetível ao side-loading de DLL) possa carregar o PlugX sem acionar nenhum alarme.
Evidências descobertas pela Talos indicam que o ator de ameaça mantém uma presença no Telegram sob o pseudônimo "tttseo" e o aplicativo de mensagem instantânea QQ para facilitar transações comerciais ilegais com clientes pagantes.
"Esses adversários também oferecem um serviço ao cliente aparentemente de qualidade, adaptando planos promocionais para melhor atender às necessidades de seus clientes," Chen adicionou.
Os clientes podem submeter as palavras-chave e os sites que desejam promover, e o DragonRank desenvolve uma estratégia adequada a essas especificações.
O grupo também se especializa em direcionar promoções para países e idiomas específicos, garantindo uma abordagem personalizada e abrangente para o marketing online.
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...