Negli ultimi tempi sta destando particolare preoccupazione una sofisticata campagna di SEO poisoning che sfrutta il malware BadIIS e colpisce siti web in Asia Orientale e Sud-Est, con un focus specifico sul Vietnam. Questo attacco, denominato Operation Rewrite, è stato individuato da esperti di sicurezza che lo collegano a un attore minaccioso di lingua cinese, già noto per infrastrutture condivise con gruppi come Group 9 e DragonRank.

SEO poisoning: manipolazione dei risultati di ricerca

Il SEO poisoning consiste nella manipolazione dei risultati dei motori di ricerca, indirizzando gli utenti verso siti compromessi che sembrano legittimi ma che in realtà nascondono contenuti dannosi. In questo caso il malware BadIIS viene installato come modulo malevolo sui server Internet Information Services (IIS), molto diffusi nelle infrastrutture web aziendali. La tecnica sfrutta la reputazione dei domini compromessi per farli comparire in alto tra i risultati delle ricerche su termini specifici, spesso legati a tematiche sensibili o ad alto traffico.

Funzionamento del modulo BadIIS

Il modulo BadIIS è particolarmente insidioso perché è in grado di intercettare e modificare il traffico HTTP in ingresso, identificando i visitatori provenienti dai crawler dei motori di ricerca tramite l’analisi dell’header User-Agent. In questi casi, il server compromesso si collega a un server di comando e controllo (C2) per scaricare contenuti manipolati e iniettare parole chiave e link spam nelle pagine, così da alterare l’indicizzazione SEO del sito. Quando un utente effettua una ricerca e clicca su uno di questi risultati apparentemente affidabili, viene reindirizzato verso siti di truffa, gioco d’azzardo o pornografia, generando profitto per gli attaccanti.

Attività laterali e persistenza

Non si tratta solo di reindirizzamenti: in almeno un caso documentato, i criminali informatici hanno utilizzato l’accesso ottenuto tramite il crawler del motore di ricerca per muoversi lateralmente nella rete, creare nuovi account locali e installare web shell per accesso remoto persistente. Questo consente loro di esfiltrare codice sorgente, caricare ulteriori payload malevoli e mantenere il controllo delle infrastrutture compromesse nel tempo.

Varianti e pericolosità dell’operazione

Gli attacchi si avvalgono anche di varianti di BadIIS, tra cui un handler ASP.NET leggero, un modulo IIS .NET in grado di modificare ogni richiesta, e uno script PHP all-in-one che combina redirezione e SEO poisoning. L’intera operazione mostra una notevole adattabilità e una profonda conoscenza dei meccanismi SEO, rappresentando una minaccia crescente per le aziende che basano la propria visibilità e sicurezza sui motori di ricerca.