Um “ator que fala chinês simplificado” foi associado a uma nova campanha que teve como alvo vários países na Ásia e na Europa com o objetivo remaining de realizar manipulação de classificação de otimização de mecanismos de busca (search engine optimisation).
O cluster de search engine optimisation black hat recebeu o codinome Classificação do Dragão pela Cisco Talos, com atuação de vitimização espalhada pela Tailândia, Índia, Coreia, Bélgica, Holanda e China.
“O DragonRank explora os serviços de aplicativos da net dos alvos para implantar um shell da net e utilizá-lo para coletar informações do sistema e lançar malware como PlugX e BadIIS, executando vários utilitários de coleta de credenciais”, disse o pesquisador de segurança Joey Chen.
Os ataques levaram ao comprometimento de 35 servidores do Web Info Providers (IIS) com o objetivo remaining de implantar o malware BadIIS, que foi documentado pela primeira vez pela ESET em agosto de 2021.
Ele foi projetado especificamente para facilitar fraudes de proxy e search engine optimisation, transformando o servidor IIS comprometido em um ponto de retransmissão para comunicações maliciosas entre seus clientes (ou seja, outros agentes de ameaças) e suas vítimas.
Além disso, ele pode modificar o conteúdo fornecido aos mecanismos de busca para manipular algoritmos e aumentar a classificação de outros websites de interesse dos invasores.
“Um dos aspectos mais surpreendentes da investigação é o quão versátil é o malware IIS e a (detecção de) esquema criminoso de fraude de search engine optimisation, em que o malware é usado indevidamente para manipular algoritmos de mecanismos de busca e ajudar a aumentar a reputação de websites de terceiros”, disse a pesquisadora de segurança Zuzana Hromcova ao The Hacker Information na época.
O mais recente conjunto de ataques destacados pela Talos abrange um amplo espectro de setores verticais da indústria, incluindo joias, mídia, serviços de pesquisa, saúde, produção de vídeo e televisão, manufatura, transporte, organizações religiosas e espirituais, serviços de TI, relações internacionais, agricultura, esportes e feng shui.
As cadeias de ataque começam aproveitando falhas de segurança conhecidas em aplicativos da net, como phpMyAdmin e WordPress, para derrubar o shell da net ASPXspy de código aberto, que então atua como um canal para introduzir ferramentas suplementares no ambiente dos alvos.
O objetivo principal da campanha é comprometer os servidores IIS que hospedam websites corporativos, abusando deles para implantar o malware BadIIS e efetivamente reutilizá-los como plataforma de lançamento para operações fraudulentas, utilizando palavras-chave relacionadas a pornografia e sexo.
Outro aspecto significativo do malware é sua capacidade de se disfarçar como o rastreador do mecanismo de busca do Google em sua sequência de caracteres do agente do usuário quando ele retransmite a conexão para o servidor de comando e controle (C2), permitindo assim que ele ignore algumas medidas de segurança do web site.
“O agente de ameaça se envolve em manipulação de search engine optimisation alterando ou explorando algoritmos de mecanismos de busca para melhorar a classificação de um web site nos resultados de busca”, explicou Chen. “Eles conduzem esses ataques para direcionar tráfego para websites maliciosos, aumentar a visibilidade de conteúdo fraudulento ou atrapalhar concorrentes inflando ou desinflando classificações artificialmente.”
Uma maneira importante pela qual o DragonRank se distingue de outros grupos de crimes cibernéticos de search engine optimisation black hat é na maneira como ele tenta violar servidores adicionais dentro da rede do alvo e manter o controle sobre eles usando o PlugX, um backdoor amplamente compartilhado por agentes de ameaças chineses, e vários programas de coleta de credenciais, como Mimikatz, PrintNotifyPotato, BadPotato e GodPotato.
Embora o malware PlugX usado nos ataques dependa de técnicas de carregamento lateral de DLL, a DLL carregadora responsável por iniciar a carga criptografada usa o mecanismo de Tratamento de Exceções Estruturadas (SEH) do Home windows em uma tentativa de garantir que o arquivo legítimo (ou seja, o binário suscetível ao carregamento lateral de DLL) possa carregar o PlugX sem disparar nenhum alarme.
Evidências descobertas pela Talos apontam que o agente da ameaça mantém presença no Telegram sob o nome “tttseo” e no aplicativo de mensagens instantâneas QQ para facilitar transações comerciais ilegais com clientes pagantes.
“Esses adversários também oferecem um atendimento ao cliente aparentemente de qualidade, adaptando planos promocionais para melhor atender às necessidades de seus clientes”, acrescentou Chen.
“Os clientes podem enviar as palavras-chave e os websites que desejam promover, e a DragonRank desenvolve uma estratégia adequada a essas especificações. O grupo também é especializado em direcionar promoções para países e idiomas específicos, garantindo uma abordagem personalizada e abrangente para o advertising and marketing on-line.”
