IISerpent Trojan
IISerpent Trojan est une menace de malware particulière qui cible le logiciel de serveur Web Internet Information Services de Microsoft. La menace est injectée dans une installation IIS en tant qu'extension corrompue. Contrairement à d'autres menaces de logiciels malveillants ISS, l'objectif d'IISerpent n'est pas de collecter des informations sensibles (numéros de carte de crédit/débit) ou d'exécuter des commandes de porte dérobée sur les systèmes compromis. La fonctionnalité d'IISerpent peut être décrite comme une fraude SEO (Search Engine Optimization) offerte en tant que service. La menace utilise des techniques de référencement contraires à l'éthique, un comportement connu sous le nom de Black Hat SEO, et tente d'améliorer le classement des pages tierces, appartenant très probablement aux clients payant les services des pirates.
Table des matières
Détails techniques
IISerpent est un module IIS natif. Il est implémenté en tant que DLL C++ et ajouté au fichier %windir%\system32\inetsrv\config\ApplicationHost.config. Cela garantit à la fois son exécution et sa persistance sur le système infecté. Une fois complètement établi, le malware commencera à intercepter toutes les requêtes HTTP entrantes vers les sites Web hébergés sur le serveur. Cependant, IISerpent n'affectera pas directement le serveur compromis ou les utilisateurs du serveur. Le malware ignorera complètement toutes les demandes provenant de visiteurs légitimes. Il ne s'intéresse qu'aux demandes associées aux robots des moteurs de recherche, puis leur montre un contenu différent de celui qui se trouve sur la page réelle. Le nouveau contenu est récupéré à partir du serveur C&C (Command-and-Control) de l'opération ou d'un fichier de configuration local.
Techniques de référencement utilisées
Les robots des moteurs de recherche sont chargés de parcourir Internet et d'analyser le contenu des pages qu'ils trouvent. Le contenu analysé par ces robots est exécuté via un algorithme complexe qui détermine le classement de chaque page liée à des termes de recherche particuliers. Augmenter le classement de votre page signifie une augmentation de la visibilité et du trafic potentiel.
Pour atteindre cet objectif, certains opérateurs de pages sont prêts à utiliser des tactiques de référencement louches. IISerpent s'appuie exactement sur ces techniques pour améliorer le classement des sites Web tiers en exploitant le classement des sites Web sur le serveur compromis. Plus précisément, IISerepent utilise deux méthodes principales :
- Il redirige les moteurs de recherche vers un site Web spécifiquement choisi, le transformant en une page de porte.
- Il injecte une liste de backlinks préconfigurés dans la réponse HTTP qui est fournie aux robots des moteurs de recherche. Cette méthode transforme efficacement les serveurs compromis par la menace en fermes de liens.
Conséquences de l’infection IISerpent
S'il est vrai que les actions d'IISerpent n'affectent en aucune manière les visiteurs légitimes des sites, sa présence ne doit pas être prise à la légère. La menace détourne la réputation des sites Web compromis et utilise des pratiques de référencement contraires à l'éthique pour tromper les robots des moteurs de recherche. Les deux activités seront finalement remarquées par les moteurs et peuvent conduire à des sanctions pour les sites Web impliqués, sans qu'ils soient des participants volontaires au programme. Par la suite, éclaircir leur réputation et supprimer les sanctions pourrait être un processus coûteux et extrêmement long. Pour éviter de tels résultats désagréables, maintenez vos serveurs IIS à jour, ne téléchargez pas d'extensions à partir de sources non éprouvées et envisagez d'ajouter une application de pare-feu ou une solution de sécurité sur le serveur.
