Pesquisadores em cibersegurança estão alertando para uma campanha de SEO poisoning, uma técnica que manipula resultados de motores de busca, provavelmente conduzida por um grupo de ameaça de língua chinesa.
Essa operação, que utiliza um malware chamado BadIIS, tem como alvo principal países do Leste e Sudeste Asiático, com foco especial no Vietnã.
Batizada de Operation Rewrite, a atividade está sendo monitorada pela Unit 42 da Palo Alto Networks, que a classifica como CL-UNK-1037, onde "CL" indica cluster e "UNK" refere-se à motivação desconhecida.
A infraestrutura usada pelos atacantes tem semelhanças com a de um grupo chamado Group 9, identificado anteriormente pela ESET e DragonRank.
Segundo o pesquisador de segurança Yoav Zemah, o SEO poisoning funciona ao manipular os resultados das buscas para levar usuários a sites inesperados e geralmente maliciosos, como de jogos de azar ou pornografia, visando lucro financeiro.
“Neste caso, o ataque usa um módulo malicioso nativo do Internet Information Services (IIS) chamado BadIIS”, explica Zemah.
O BadIIS tem a função de interceptar e alterar o tráfego HTTP recebido por servidores legítimos comprometidos, injetando conteúdo malicioso.
O objetivo é manipular o ranking nos motores de busca para direcionar o tráfego a destinos determinados pelos atacantes, por meio da inserção de palavras-chave e frases em sites confiáveis.
O módulo do IIS identifica quando visitantes são crawlers de motores de busca, verificando o cabeçalho User-Agent das requisições HTTP.
Assim, ele pode se comunicar com um servidor externo para obter o conteúdo “envenenado”, que modificará a indexação do site vítima, fazendo com que ele apareça como resultado relevante para os termos especificados pelo servidor de comando e controle (C2).
Com o site comprometido dessa forma, o ataque se conclui quando usuários buscam por aqueles termos e clicam no site legítimo, mas comprometido, sendo redirecionados para páginas fraudulentas.
Em uma das investigações da Unit 42, os criminosos usaram o acesso ao crawler do motor de busca para avançar para outros sistemas, criar contas locais, instalar web shells e garantir acesso remoto contínuo.
Também houve exfiltração de códigos-fonte e instalação dos implantes BadIIS.
Segundo a Unit 42, “o mecanismo primeiro cria a isca e, depois, aciona a armadilha”.
A isca consiste em alimentar os crawlers de busca com conteúdo manipulado, fazendo o site comprometido subir no ranking para termos antes não associados a ele.
O servidor web comprometido opera como um reverse proxy, intermediando conteúdo de outros servidores e apresentando-o como seu.
Além do módulo BadIIS original, os atacantes utilizam outras variantes em suas campanhas:
- Um handler leve em ASP.NET que faz SEO poisoning ao "proxyar" conteúdo malicioso de um servidor C2 remoto.
- Um módulo IIS gerenciado em .NET que inspeciona e modifica todas as requisições, inserindo links de spam e palavras-chave vindos de outro servidor C2.
- Um script PHP all-in-one que combina redirecionamento de usuários e SEO poisoning dinâmico.
De acordo com a Unit 42, “todos os implantes foram desenvolvidos com o objetivo claro de manipular resultados de busca e controlar o fluxo de tráfego.” A equipe avalia com alta confiança que o grupo é de língua chinesa, baseando-se em evidências linguísticas diretas, além de conexões na infraestrutura e arquitetura que ligam essa operação ao cluster Group 9.
Essa revelação acontece semanas depois da ESET detalhar uma ameaça até então desconhecida chamada GhostRedirector.
Esse grupo conseguiu comprometer ao menos 65 servidores Windows, principalmente no Brasil, Tailândia e Vietnã, usando um módulo IIS malicioso chamado Gamshen para realizar fraudes em SEO.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...