Recientemente, investigadores de Trend Micro han descubierto una campaña de ciberataques llevada a cabo por un grupo de habla china que manipula el posicionamiento en motores de búsqueda (SEO) utilizando un módulo malicioso llamado BadIIS. Esta técnica compromete servidores web para mejorar la visibilidad de contenido malicioso en los resultados de búsqueda. En este artículo, analizamos el funcionamiento de BadIIS, cómo los atacantes aprovechan esta vulnerabilidad y qué medidas se pueden tomar para mitigar el riesgo.
¿Qué es BadIIS?
BadIIS es un módulo malicioso para servidores IIS (Internet Information Services) que actúa como una puerta trasera (backdoor). Su objetivo es permitir a los atacantes controlar el servidor sin ser detectados y manipular el contenido de las respuestas HTTP de manera selectiva. Esto permite inyectar enlaces maliciosos o redirigir a los visitantes a otros sitios fraudulentos.
"En función del censo de archivos y el tráfico de red, identificamos las regiones afectadas, incluidas India, Tailandia, Vietnam, Filipinas, Singapur, Taiwán, Corea del Sur, Japón y Brasil. También observamos a Bangladesh como un objetivo potencial. Los servidores IIS objetivo incluyen máquinas propiedad del gobierno, universidades, empresas de tecnología y sectores de telecomunicaciones. Observamos que las regiones afectadas no se limitaron a la ubicación de las máquinas comprometidas. En la mayoría de los casos, las víctimas se encontraban en la misma región; Sin embargo, descubrimos que algunos se vieron afectados cuando visitaron servidores comprometidos en diferentes regiones." indicaron en el blog de TrendMicro referente a la distribución por países.
Impacto y Recomendaciones
Esta campaña representa una amenaza significativa para empresas y usuarios, ya que un sitio web legítimo puede ser usado para propagar malware sin que el propietario lo sepa.
Cómo Protegerse:
- Monitorear archivos del servidor en busca de modificaciones sospechosas.
- Usar un firewall de aplicaciones web (WAF) para detectar y bloquear manipulaciones de código.
- Mantener actualizado el software del servidor para evitar vulnerabilidades explotadas por los atacantes.
- Realizar auditorías de seguridad periódicas para identificar y eliminar amenazas como BadIIS.
Conclusión
El malware BadIIS es una herramienta sofisticada que permite a los atacantes manipular SEO y redirigir a los usuarios a sitios fraudulentos sin ser detectados. Su capacidad para insertarse en servidores IIS y modificar respuestas HTTP lo convierte en una amenaza peligrosa. La implementación de medidas de seguridad adecuadas es crucial para proteger servidores y usuarios de este tipo de ataques.
Fuente: Un grupo de habla china manipula el SEO con BadIIS | Trend Micro (EE. UU.)
