
Se ha observado que los actores de amenaza dirigen a los servidores de Servicios de Información de Internet (IIS) en Asia como parte de una campaña de manipulación de optimización de motores de búsqueda (SEO) diseñada para instalar malware Badiis.
“Es probable que la campaña esté motivada financieramente ya que redirigir a los usuarios a sitios web ilegales de juegos de azar muestra que los atacantes despliegan a Badiis con fines de lucro”, Trend Micro Investigadores Ted Lee y Lenart Bermejo dicho En un análisis publicado la semana pasada,
Los objetivos de la campaña incluyen servidores IIS ubicados en India, Tailandia, Vietnam, Filipinas, Singapur, Taiwán, Corea del Sur, Japón y Brasil. Estos servidores están asociados con el gobierno, las universidades, las empresas de tecnología y los sectores de telecomunicaciones.
Las solicitudes a los servidores comprometidos pueden recibir contenido alterado de los atacantes, que van desde redirecciones hasta sitios de juego hasta conectarse a servidores deshonestos que alojan páginas de malware o credenciales de recolección.
Se sospecha que la actividad es el trabajo de un grupo de amenazas de habla china conocido como Dragonrank, que fue documentado por Cisco Talos el año pasado como entrega del malware Badiis a través de esquemas de manipulación de SEO.
Se dice que la campaña Dragonrank, a su vez, se asocia con una entidad denominada Grupo 9 por ESET en 2021 que aprovecha los servidores IIS comprometidos para los servicios de poder y el fraude de SEO.
Sin embargo, Trend Micro señaló que los artefactos de malware detectados comparten similitudes con una variante utilizada por el Grupo 11, con dos modos diferentes para realizar fraude de SEO e inyectar el código de JavaScript sospechoso en respuestas para solicitudes de visitantes legítimos.
“El BADIIS instalado puede alterar la información del encabezado de respuesta HTTP solicitada desde el servidor web”, dijeron los investigadores. “Verifica los campos ‘agente de usuario’ y ‘referente’ en el encabezado HTTP recibido”.
“Si estos campos contienen sitios o palabras clave de portal de búsqueda específicos, Badiis redirige al usuario a una página asociada con un sitio de juego ilegal en línea en lugar de una página web legítima”.
El desarrollo se produce cuando Silent Push vinculó la Red de entrega de contenido FunNull de China (CDN) con una práctica que llama lavado de infraestructura, en las que los actores de amenaza alquilan direcciones IP de proveedores de alojamiento convencionales como Amazon Web Services (AWS) y Microsoft Azure y usan ellos para alojar sitios web criminales.
Se dice que Funnull alquiló más de 1,200 IP de Amazon y casi 200 IP de Microsoft, todos los cuales han sido retirados desde entonces. Se ha descubierto que la infraestructura maliciosa, llamada Triad Nexus, alimenta esquemas de phishing minorista, estafas de cebo romántico y operaciones de lavado de dinero a través de sitios de juego falsos.
“Pero los nuevos IP se adquieren continuamente cada pocas semanas”, la compañía dicho. “Funnull es probable que use cuentas fraudulentas o robadas para adquirir estas IP para mapear a sus CNAMES”.








