BadIIS malware
A Trend Micro kutatói egy SEO manipulációs kampányt figyeltek meg, amely szerint az Internet Information Services (IIS) használó szervezeteknek proaktívan frissíteniük és foltozniuk kell rendszereiket, hogy megakadályozzák a BadIIS nevű malware-t használó fenyegető csoportok kihasználását.
2024-ben Ázsiában jelentős mértékben terjedt el a BadIIS malware, amely az IIS-t célozza meg, és SEO csalásra, valamint legitim felhasználók böngészőjébe rosszindulatú tartalom befecskendezésére használható. Ez magában foglalja engedély nélküli hirdetések megjelenítését, malware terjesztését, és specifikus csoportok elleni watering hole támadásokat.
Ebben a kampányban a fenyegető csoportok sebezhető IIS szervereket használnak ki a BadIIS malware telepítésére a kompromittált szervereken. Amint a felhasználók kérést küldenek egy kompromittált szerverhez, módosított tartalmat kaphatnak a támadóktól. A telepített BadIIS képes módosítani az HTTP válaszfejléc információkat a webszerverről érkező kérések esetén. Ellenőrzi a User-Agent és Referer mezőket a kapott HTTP fejlécben, és ha ezek mezők tartalmazzák bizonyos keresőportálok vagy kulcsszavakat, a BadIIS átirányítja a felhasználót egy illegális oldalra egy legitim weboldal helyett.
Az újabb kampányok során az új változatokat elsősorban online szerencsejátékkal kapcsolatos tartalmak szállítására használták. Ez a megközelítés könnyen alkalmazható tömeges malware-terjesztésre és olyan waterhole támadásokra, amelyek specifikus csoportokat céloznak meg.
A mintákból származó információk (például kinyert domén, egyszerűsített kínai nyelven írt szöveg) alapján úgy gondolják a Trend Micro kutatói, hogy ezeket a változatokat valószínűleg kínai nyelvű csoportok készítették és telepítették.