DragonRank investiga servidores IIS utilizando o malware BadIIS para fraude de SEO e redirecionamentos de jogos de azar

É provável que a campanha tenha motivações financeiras, pois redirecionar usuários para sites de apostas ilegais indica que os atacantes implantam o BadIIS com fins lucrativos”, afirmaram os pesquisadores da Trend Micro, Ted Lee e Lenart Bermejo, em uma análise divulgada na semana passada.

Os alvos da campanha incluem servidores IIS localizados na Índia, Tailândia, Vietnã, Filipinas, Cingapura, Taiwan, Coreia do Sul, Japão e Brasil. Esses servidores pertencem a governos, universidades, empresas de tecnologia e setores de telecomunicações.

As requisições aos servidores comprometidos podem, então, resultar em conteúdo alterado pelos atacantes, variando de redirecionamentos para sites de apostas a conexões com servidores maliciosos que hospedam malware ou páginas de coleta de credenciais.

Suspeita-se que a atividade seja realizada por um grupo de ameaças de língua chinesa conhecido como DragonRank, que foi documentado pela Cisco Talos no ano passado como responsável pela distribuição do malware BadIIS por meio de esquemas de manipulação de SEO.

A campanha DragonRank, por sua vez, estaria vinculada a uma entidade chamada Grupo 9 pela ESET em 2021, que utiliza servidores IIS comprometidos para serviços de proxy e fraude de SEO

A Trend Micro, no entanto, notou que os artefatos de malware detectados possuem semelhanças com uma variante utilizada pelo Grupo 11, apresentando dois métodos diferentes para realizar fraudes de SEO e injetar código JavaScript suspeito nas respostas às solicitações de visitantes legítimos.

“O BadIIS instalado pode modificar as informações do cabeçalho de resposta HTTP solicitadas do servidor web”, afirmaram os pesquisadores. “Ele verifica os campos ‘User-Agent’ e ‘Referer’ no cabeçalho HTTP recebido.”

“Se esses campos contiverem sites de motores de busca ou palavras-chave específicas, o BadIIS redireciona o usuário para uma página relacionada a um site de apostas ilegais online, em vez de uma página legítima.”

O desenvolvimento ocorre no momento em que a Silent Push associou a rede de distribuição de conteúdo (CDN) Funnull, com sede na China, a uma prática chamada lavagem de infraestrutura, na qual agentes de ameaças alugam endereços IP de provedores de hospedagem tradicionais, como Amazon Web Services (AWS) e Microsoft Azure, e os utilizam para hospedar sites criminosos.

A Funnull teria alugado mais de 1.200 IPs da Amazon e quase 200 IPs da Microsoft, todos retirados do ar. A infraestrutura maliciosa, apelidada de Triad Nexus, foi descoberta alimentando esquemas de phishing de varejo, golpes de romance e operações de lavagem de dinheiro por meio de sites de apostas fraudulentos.

“Mas novos IPs estão sendo adquiridos continuamente a cada poucas semanas”, disse a empresa. “A Funnull provavelmente está utilizando contas fraudulentas ou roubadas para adquirir esses IPs e mapear seus CNAMEs.”