Attacco SEO DragonRank: la manipolazione nascosta dei server IIS

Una strategia sofisticata per sfruttare le classifiche di ricerca

L'attacco SEO DragonRank è una campagna osservata che ha come obiettivo i server Internet Information Services (IIS) , in particolare in alcune parti dell'Asia e del Brasile. L'obiettivo di questa operazione è manipolare le classifiche dei motori di ricerca iniettando componenti dannosi nei contenuti web, reindirizzando gli utenti a siti web illeciti e sfruttando server compromessi per ottenere guadagni finanziari. Questa attività è collegata a un gruppo noto che utilizza una backdoor personalizzata, spesso identificata come BadIIS, per eseguire la propria strategia.

Qual è il vero obiettivo di DragonRank?

L'obiettivo principale dietro questo attacco sembra essere il profitto finanziario, ottenuto tramite lo sfruttamento del ranking di ricerca e i reindirizzamenti non autorizzati. Compromettendo i server IIS appartenenti ad agenzie governative, università e aziende tecnologiche, gli aggressori modificano il modo in cui questi server rispondono alle richieste web. Ciò consente loro di reindirizzare ignari visitatori verso destinazioni non autorizzate, tra cui siti di gioco d'azzardo e piattaforme non autorizzate che ospitano pagine di furto di credenziali.

La manipolazione non si ferma ai semplici reindirizzamenti. Gli aggressori implementano un meccanismo che controlla le richieste in arrivo per specifici identificatori o parole chiave del motore di ricerca. Se viene trovata una corrispondenza, l'utente viene automaticamente indirizzato a un sito scelto dall'aggressore anziché alla pagina legittima prevista. Ciò consente agli operatori della minaccia di manipolare i modelli di traffico e influenzare gli algoritmi del motore di ricerca, migliorando la visibilità dei siti illeciti.

Implicazioni per le organizzazioni e gli utenti

L'impatto di questo attacco è significativo e colpisce sia i proprietari di siti web che i visitatori. Le organizzazioni che ospitano server IIS potrebbero scoprire che i loro domini sono coinvolti in frodi di ricerca senza che ne siano a conoscenza. Ciò può portare a una perdita di credibilità, violazioni della sicurezza e potenziali blacklist da parte dei motori di ricerca. Inoltre, poiché alcuni di questi server compromessi appartengono a istituzioni governative e settori critici, c'è il rischio di violazioni dei dati più gravi se gli aggressori estendono le loro attività oltre le frodi SEO.

Le conseguenze per gli utenti vanno dal reindirizzamento a siti fuorvianti o illegali alla potenziale esposizione a software dannosi. Alcuni di questi siti non autorizzati possono contenere minacce aggiuntive, come tentativi di phishing o tentativi di raccogliere informazioni sensibili.

Collegamenti a reti di criminalità informatica più grandi

Si ritiene che la campagna DragonRank sia associata a una rete più ampia di attività di criminalità informatica. Ricerche precedenti hanno collegato questa operazione a un gruppo denominato Gruppo 9, che in precedenza si è impegnato in simili compromissioni del server IIS. Ulteriori analisi suggeriscono che si sovrappone a un'entità separata, Gruppo 11, che impiega tattiche simili, tra cui la capacità di eseguire frodi SEO e iniettare script dannosi nelle pagine Web.

Un altro aspetto di questa minaccia è la sua associazione con il riciclaggio di infrastrutture, una pratica in cui i criminali informatici acquisiscono indirizzi IP dai principali provider di hosting e li usano per scopi ingannevoli. Una rete cinese nota come Funnull è stata collegata a questo metodo, che presumibilmente affitta migliaia di indirizzi IP da provider come Amazon Web Services e Microsoft Azure. Questi IP sono stati collegati ad attività fraudolente, tra cui schemi di phishing, frodi finanziarie e false piattaforme di gioco d'azzardo.

L'evoluzione della manipolazione dei motori di ricerca

Questo attacco evidenzia una tendenza crescente in cui i criminali informatici sfruttano gli algoritmi di ricerca per scopi illeciti. Dirottando infrastrutture web affidabili, aggirano i meccanismi di rilevamento tradizionali e ottengono l'accesso a un traffico web sostanziale. Tali tattiche non solo danneggiano l'affidabilità dei motori di ricerca, ma introducono anche nuovi rischi per gli utenti online che potrebbero interagire inconsapevolmente con siti web compromessi.

Mentre i criminali informatici affinano le loro tecniche, le organizzazioni devono adottare misure proattive per proteggere i loro ambienti web. Il rafforzamento delle configurazioni del server IIS, il monitoraggio delle anomalie del traffico e l'implementazione di rigorosi controlli di sicurezza possono aiutare a mitigare i rischi posti da campagne come DragonRank. Nel frattempo, gli operatori dei motori di ricerca e i ricercatori di sicurezza informatica continuano a monitorare e contrastare queste minacce in evoluzione.