Operazione rewrite: una campagna di avvelenamento SEO
I ricercatori di cybersecurity stanno mettendo in luce una campagna di avvelenamento SEO probabilmente condotta da un attore di minaccia di lingua cinese. Questo attacco utilizza un malware chiamato BadIIS e prende di mira l’Asia orientale e sudorientale, con un’attenzione particolare al Vietnam. L’attività, denominata Operazione Rewrite, è monitorata da Palo Alto Networks Unit 42 con il nome in codice CL-UNK-1037. Questo attore di minaccia condivide infrastrutture e somiglianze architettoniche con un’entità conosciuta come Group 9 da ESET e DragonRank.
Come funziona l’avvelenamento SEO
Per eseguire l’avvelenamento SEO, gli attaccanti manipolano i risultati dei motori di ricerca per ingannare le persone e farle visitare siti web inaspettati o indesiderati, come siti di gioco d’azzardo e pornografia, per guadagno finanziario. Questo attacco utilizza un modulo nativo di Internet Information Services (IIS) chiamato BadIIS. BadIIS è progettato per intercettare e modificare il traffico web HTTP in entrata con l’obiettivo finale di servire contenuti dannosi ai visitatori del sito utilizzando server legittimi compromessi.
Il meccanismo dell’attacco
Il modulo IIS è in grado di identificare i visitatori provenienti dai crawler dei motori di ricerca ispezionando l’intestazione User-Agent nella richiesta HTTP. Questo permette di contattare un server esterno per recuperare il contenuto avvelenato, alterando così la SEO e facendo sì che il motore di ricerca indicizzi il sito vittima come un risultato rilevante per i termini trovati nella risposta del server di comando e controllo (C2). Una volta che i siti sono stati avvelenati in questo modo, tutto ciò che serve per completare lo schema è intrappolare le vittime che cercano quei termini in un motore di ricerca e finiscono per cliccare sul sito legittimo ma compromesso, reindirizzandole infine a un sito truffa.
Strumenti e tecniche utilizzate
In almeno un incidente investigato da Unit 42, gli attaccanti hanno sfruttato il loro accesso a un crawler di motori di ricerca per passare ad altri sistemi, creare nuovi account utente locali e installare web shell per stabilire un accesso remoto persistente, esfiltrare codice sorgente e caricare impianti BadIIS. Il meccanismo costruisce prima un’esca e poi scatta la trappola. L’esca viene costruita dagli attaccanti che forniscono contenuti manipolati ai crawler dei motori di ricerca, facendo sì che il sito web compromesso si posizioni per termini aggiuntivi a cui altrimenti non avrebbe alcuna connessione. Il server web compromesso agisce quindi come un proxy inverso, un server intermediario che ottiene contenuti da altri server e li presenta come propri.
Considerazioni finali
Questa campagna di avvelenamento SEO evidenzia l’importanza di una vigilanza costante nel mondo digitale. Gli attori di minaccia stanno diventando sempre più sofisticati, sfruttando tecniche avanzate per manipolare i risultati dei motori di ricerca e ingannare gli utenti. È fondamentale che le organizzazioni adottino misure di sicurezza proattive per proteggere le loro infrastrutture e i loro dati. Inoltre, gli utenti devono essere consapevoli dei rischi associati alla navigazione online e adottare pratiche sicure per evitare di cadere vittime di tali attacchi. La collaborazione tra ricercatori di sicurezza e aziende è essenziale per contrastare queste minacce in continua evoluzione.
Fonte: The Hackers News
