Attaque SEO DragonRank
Des pirates informatiques ont été observés ciblant les serveurs IIS (Internet Information Services) en Asie dans le cadre d'une campagne de manipulation de l'optimisation des moteurs de recherche (SEO). Les attaquants utilisent ce stratagème pour déployer BadIIS , une menace conçue pour modifier le trafic Web et rediriger les utilisateurs vers des destinations illicites.
Table des matières
Redirections motivées par des raisons financières vers des sites de jeux d'argent illégaux
La campagne semble avoir un but lucratif, car les serveurs compromis dirigent les utilisateurs sans méfiance vers des sites de jeux d'argent illégaux. Les serveurs IIS concernés sont liés à diverses institutions, notamment des agences gouvernementales, des universités, des entreprises technologiques et des fournisseurs de télécommunications. Les régions touchées comprennent l'Inde, la Thaïlande, le Vietnam, les Philippines, Singapour, Taiwan, la Corée du Sud, le Japon et même le Brésil.
Trafic manipulé et redirections menaçantes
Une fois qu'un serveur est compromis, il peut proposer du contenu modifié aux visiteurs entrants. Les attaquants utilisent ce contrôle pour mettre en œuvre des redirections vers des sites de jeux d'argent ou pour connecter les victimes à une infrastructure malveillante hébergeant des logiciels non sécurisés ou des pages de collecte d'informations d'identification. Cette technique permet aux cybercriminels d'exploiter le trafic Web légitime à des fins financières ou de nouvelles cyberattaques.
La connexion DragonRank
Les chercheurs attribuent cette activité à un groupe de menaces parlant chinois connu sous le nom de DragonRank. Déjà documenté comme exploitant des stratégies de manipulation SEO, DragonRank a été lié au déploiement du malware BadIIS. Les preuves suggèrent que ce groupe a évolué à partir d'un acteur de menace antérieur, connu dans les cercles de cybersécurité sous le nom de Group 9, qui exploite les serveurs IIS pour les services proxy et la fraude SEO depuis 2021.
Tactiques superposées avec le groupe 11
Il est intéressant de noter que des enquêtes récentes révèlent que les artefacts de malware détectés présentent des similitudes avec une variante associée à une autre entité, le Groupe 11. Cette version de BadIIS comprend une double fonctionnalité : un mode se concentre sur la fraude SEO, tandis que l'autre injecte du code JavaScript suspect dans les réponses Web pour manipuler le trafic des visiteurs.
Comment BadIIS redirige les victimes
BadIIS peut intercepter et modifier les en-têtes de réponse HTTP des serveurs IIS compromis. Plus précisément, il examine les champs « User-Agent » et « Referer » dans les requêtes HTTP entrantes. Si ces champs contiennent des sites de portail de recherche ou des mots-clés ciblés, le logiciel malveillant redirige les utilisateurs vers un site de jeu non autorisé au lieu de la page légitime attendue. Cette redirection ciblée permet aux attaquants d'exploiter le trafic de recherche organique à leur propre avantage.
