Agentes de ameaças foram observados visando servidores Internet Information Services (IIS) na Ásia como parte de uma campanha de manipulação de Search Engine Optimization (SEO) projetada para instalar o malware BadIIS.
"É provável que a campanha seja motivada financeiramente, uma vez que redirecionar usuários para sites de apostas ilegais mostra que os atacantes implantam o BadIIS para lucro", os pesquisadores da Trend Micro, Ted Lee e Lenart Bermejo, disseram em uma análise publicada na última semana.
Os alvos da campanha incluem servidores IIS localizados na Índia, Tailândia, Vietnã, Filipinas, Singapura, Taiwan, Coreia do Sul, Japão e Brasil.
Esses servidores estão associados aos setores governamental, universitário, de tecnologia e de telecomunicações.
Os pedidos aos servidores comprometidos podem então ser atendidos com conteúdo alterado pelos atacantes, variando de redirecionamentos para sites de jogos de azar a conexões com servidores desonestos que hospedam malware ou páginas de colheita de credenciais.
Suspeita-se que a atividade seja obra de um grupo de ameaças de língua chinesa conhecido como DragonRank, que foi documentado pela Cisco Talos no ano passado entregando o malware BadIIS por meio de esquemas de manipulação de SEO.
A campanha DragonRank, por sua vez, é dita ser associada a uma entidade referida como Grupo 9 pela ESET em 2021 que aproveita servidores IIS comprometidos para serviços de proxy e fraude de SEO.
No entanto, a Trend Micro observou que os artefatos de malware detectados compartilham semelhanças com uma variante usada pelo Grupo 11, apresentando dois modos diferentes para conduzir fraude de SEO e injetar código JavaScript suspeito em respostas para pedidos de visitantes legítimos.
"O BadIIS instalado pode alterar as informações do cabeçalho de resposta HTTP solicitadas pelo servidor web", disseram os pesquisadores.
Ele verifica os campos 'User-Agent' e 'Referer' no cabeçalho HTTP recebido." "Se esses campos contêm sites de portal de pesquisa específicos ou palavras-chave, o BadIIS redireciona o usuário para uma página associada a um site de jogos de azar ilegais em vez de uma página web legítima.
O desenvolvimento surge enquanto o Silent Push vinculou a rede de entrega de conteúdo (CDN) baseada na China, Funnull, a uma prática que chama de lavagem de infraestrutura, na qual atores de ameaça alugam endereços IP de provedores de hospedagem mainstream, como Amazon Web Services (AWS) e Microsoft Azure, e os usam para hospedar sites criminosos.
Diz-se que a Funnull alugou mais de 1.200 IPs da Amazon e quase 200 IPs da Microsoft, todos os quais foram retirados desde então.
A infraestrutura maliciosa, apelidada de Triad Nexus, foi encontrada alimentando esquemas de phishing no varejo, golpes de isca de romance e operações de lavagem de dinheiro através de sites de apostas falsos.
"Mas novos IPs estão sendo continuamente adquiridos a cada poucas semanas", disse a empresa.
FUNNULL provavelmente está usando contas fraudulentas ou roubadas para adquirir esses IPs para mapear para seus CNAMEs.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...