Ciberdelincuencia, gestión del fraude y ciberdelincuencia
Los actores de amenazas anuncian servicios de SEO en chino e inglés Prajeet Nair (traductor) • 13 de septiembre de 2024 Imagen: Shutterstock
Una organización china de optimización de motores de búsqueda ha pirateado más de 35 servidores web y ha robado credenciales como parte de una campaña para mejorar la clasificación en línea de sitios porno maliciosos.
Los investigadores de Cisco Talos llamaron a este grupo de amenazas DragonRank y dijeron que anuncia servicios de optimización de motores de búsqueda (legales e ilegales) en chino e inglés. Este SEO negro incluye comprometer servidores web, insertar enlaces ocultos o palabras clave a sitios web legítimos y crear vínculos de retroceso a sitios maliciosos. El dominio en línea asociado con esta actividad, tttseo.com, no se traduce en un sitio web.
Los vínculos de retroceso aumentan artificialmente el rendimiento del motor de búsqueda de un sitio malicioso, lo que hace que los usuarios desprevenidos tengan más probabilidades de visitar el sitio y ser engañados para que proporcionen información confidencial o descarguen malware. Los servidores web pirateados durante esta campaña están repartidos por todo el mundo e incluyen víctimas en Tailandia, India, Corea del Sur, Bélgica, Países Bajos y China.
El objetivo principal de DragonRank es infiltrarse en servidores web y eliminar el malware BadIIS (IIS significa Internet Information Services, el servidor web extensible de Microsoft) para realizar operaciones de SEO. Oculta la comunicación con los servidores de comando y control imitando el rastreador del motor de búsqueda de Google con la cadena User-Agent.
Los piratas informáticos de DragonRank comienzan a infiltrarse en los servidores buscando vulnerabilidades en servicios de aplicaciones web como phpMyAdmin y WordPress. Implementan shells web y utilizan utilidades como Mimikatz, BadPotato y GodPotato para recopilar información del sistema y descargar malware adicional. Los piratas informáticos implementan herramientas de recolección de credenciales para infiltrarse lateralmente en las redes. El arsenal de malware de DragonRink incluye PlugX, que utiliza técnicas de descarga de DLL y mecanismos estructurados de manejo de excepciones de Windows para evadir la detección. La persistencia de PlugX dentro de los sistemas infectados permite al grupo mantener el control sin despertar sospechas.
Cisco Talos vinculó la actividad de DragonRank con un actor de amenazas que utilizaba chino simplificado y que adquiría clientes mediante publicidad en sitios web legítimos. Según los investigadores, este actor de amenazas también ofrece servicios de publicación masiva en plataformas de redes sociales.
https://www.bankinfosecurity.com/chinese-speaking-hackers-manipulate-seo-rankings-globally-a-26284
