Indice dei contenuti
- Un nuovo attacco informatico minaccia i server IIS
- I bersagli dell’attacco: governi, università e aziende tecnologiche
- Il ruolo di DragonRank nella diffusione di BadIIS
- L’infrastruttura dietro l’attacco: Funnull e Triad Nexus
- Conclusione: un’emergenza per la sicurezza informatica
Un nuovo attacco informatico minaccia i server IIS
Un gruppo di cybercriminali ha preso di mira i server Internet Information Services (IIS) in Asia, sfruttandoli per una massiccia campagna di manipolazione del posizionamento sui motori di ricerca. Il malware in questione, denominato BadIIS, consente agli attaccanti di reindirizzare il traffico degli utenti verso siti di gioco d’azzardo illegale, generando guadagni illeciti.
Secondo un’analisi pubblicata dagli esperti di sicurezza di Trend Micro, la campagna è chiaramente motivata da fini economici. I criminali, infatti, sfruttano il traffico organico generato dai motori di ricerca per indirizzare gli utenti verso piattaforme fraudolente.
I bersagli dell’attacco: governi, università e aziende tecnologiche
I server IIS compromessi si trovano principalmente in India, Thailandia, Vietnam, Filippine, Singapore, Taiwan, Corea del Sud, Giappone e Brasile. Le vittime comprendono istituzioni governative, università, aziende tecnologiche e fornitori di telecomunicazioni, rendendo l’attacco particolarmente preoccupante per la sicurezza di infrastrutture critiche.
Una volta compromessi, i server modificano le risposte HTTP agli utenti, reindirizzandoli a siti fraudolenti, pagine di raccolta credenziali o server controllati dagli hacker. Questo permette agli aggressori di manipolare il traffico web e sfruttarlo per vari scopi illeciti.
Il ruolo di DragonRank nella diffusione di BadIIS
Le analisi condotte dagli esperti di sicurezza attribuiscono questa campagna al gruppo DragonRank, un’entità criminale di origine cinese già identificata da Cisco Talos nel 2024.
Questo gruppo utilizza metodi sofisticati per iniettare codice dannoso nei server IIS, favorendo la diffusione di SEO fraud e il reindirizzamento a siti di gioco d’azzardo.
Il malware BadIIS è in grado di analizzare le richieste HTTP in arrivo, verificando informazioni come lo User-Agent e il Referer. Se rileva termini specifici legati ai motori di ricerca, l’utente viene deviato verso un sito fraudolento anziché alla pagina richiesta.
L’infrastruttura dietro l’attacco: Funnull e Triad Nexus
La campagna DragonRank è stata collegata anche a una rete più ampia di criminalità informatica gestita tramite la piattaforma Funnull CDN, un’infrastruttura di content delivery network (CDN) con sede in Cina.
Secondo Silent Push, Funnull affitta indirizzi IP da provider legittimi come Amazon Web Services (AWS) e Microsoft Azure, utilizzandoli per ospitare siti malevoli. Questa tecnica, definita infrastructure laundering, consente agli hacker di nascondere le proprie tracce dietro piattaforme legittime.
Dai dati raccolti, emerge che Funnull ha noleggiato oltre 1.200 indirizzi IP da Amazon e quasi 200 da Microsoft, utilizzandoli per operazioni di phishing, truffe romantiche e riciclaggio di denaro attraverso siti di gioco d’azzardo fasulli.
Sebbene molti di questi IP siano stati disattivati, nuovi vengono continuamente acquistati, rendendo il contrasto a questa rete estremamente complesso.
Conclusione: un’emergenza per la sicurezza informatica
La campagna DragonRank evidenzia la crescente minaccia rappresentata dagli attacchi basati su server IIS compromessi. L’utilizzo del malware BadIIS per il SEO fraud e il reindirizzamento degli utenti dimostra quanto i cybercriminali siano sempre più abili nel manipolare il traffico web per scopi illeciti.
Le aziende e le istituzioni devono rafforzare le proprie difese implementando sistemi di monitoraggio avanzati, aggiornando regolarmente i propri server e adottando strategie di cyber security più efficaci per contrastare queste minacce.
