BadIIS: Malware nutzt Microsoft-Webserver für betrügerische SEO

Sicherheitsforscher schlagen Alarm wegen einer neuen Cyberkampagne, bei der Angreifer gezielt die Suchmaschinenoptimierung (SEO) manipulieren. Im Mittelpunkt steht eine Schadsoftware namens BadIIS.
Sicherheitslücke, Hacker, Security, Malware, Angriff, Hack, Kriminalität, Virus, Schadsoftware, Cybersecurity, Exploit, Cybercrime, Hacking, Hackerangriff, Internetkriminalität, Sicherheitslücken, Darknet, Sicherheitsupdate, Hacker Angriff, Hacker Angriffe, Hacken, Attack, Hacks, Cyberangriff, Kurs, Crime, Russische Hacker, anti-malware, Risiko, Cyberwar, China Hacker, Sicherheitsrisiko, Malware Warnung, Totenkopf, Sicherheitsproblem, Cyberattacke, tot, Dead, Malware Found, Hazard, Skull

IIS wird manipuliert

Die von Unit 42, einem Team des Security-Unternehmens Palo Alto Networks, als "Operation Rewrite" bezeichnete Kampagne wird dem Bedrohungsakteur CL-UNK-1037 zugeschrieben. Dieser weist nach Angaben der Forscher deutliche Überschneidungen mit bereits bekannten Gruppen wie Group 9 (ESET) und DragonRank auf. Hinweise deuten darauf hin, dass es sich um einen chinesischsprachigen Akteur handelt.

Das Ziel der Angreifer ist die Manipulation von Suchmaschinenergebnissen. Dabei werden legitime, aber kompromittierte Server missbraucht, um manipulierte Inhalte einzuschleusen. Wer nach bestimmten Schlagwörtern sucht, landet so auf seriös wirkenden Websites - wird jedoch anschließend auf betrügerische Seiten, etwa mit Glücksspiel- oder Pornoinhalten, umgeleitet.


Die eingesetzte Malware BadIIS fungiert als bösartiges Modul für Microsofts Webserver Internet Information Services (IIS). Sie ist in der Lage, eingehende HTTP-Anfragen zu verändern und speziell den Datenverkehr von Suchmaschinen-Crawlern zu erkennen. Über eine Verbindung zu einem externen Kontrollserver werden gezielt Inhalte eingeschleust, damit kompromittierte Webseiten in Suchergebnissen für eigentlich fachfremde Begriffe erscheinen.

In einem dokumentierten Vorfall nutzten die Täter ihre Zugriffsmöglichkeiten sogar, um neue Benutzerkonten auf Servern anzulegen, Web-Shells zu installieren und Quellcode zu entwenden. Auf diese Weise verschafften sie sich dauerhaften Fernzugriff und konnten weitere Schadsoftware einschleusen.

Nicht das erste Mal

Neben BadIIS setzten die Angreifer weitere Varianten ein, darunter einen ASP.NET-Handler, der schädliche Inhalte von einem Remote-Server weiterleitet. Hinzu kommen ein .NET-IIS-Modul, das Spam-Links und Keywords in legitime Seiten injiziert, sowie ein PHP-Skript, das Besucher direkt umleitet und dynamisch SEO-Manipulationen vornimmt.

Die aktuelle Analyse folgt nur wenige Wochen auf einen Bericht des Sicherheitsunternehmens ESET über die Kampagne GhostRedirector, bei der mehr als 65 Windows-Server durch ein ähnliches IIS-Modul kompromittiert wurden. Experten warnen, dass solche Angriffe nicht nur wirtschaftlichen Schaden anrichten, sondern auch das Vertrauen in eigentlich seriöse Webseiten untergraben.

Zusammenfassung
  • Neue Schadsoftware BadIIS manipuliert gezielt Suchmaschinenergebnisse
  • Chinesischsprachige Angreifer nutzen kompromittierte Microsoft-Webserver
  • Besucher werden von seriösen Seiten auf betrügerische Inhalte umgeleitet
  • Malware erkennt Suchmaschinen-Crawler und schleust fremde Inhalte ein
  • Täter schaffen sich dauerhaften Fernzugriff durch zusätzliche Konten
  • Mehrere Schadsoftware-Varianten für SEO-Manipulation identifiziert
  • Ähnliche Kampagne GhostRedirector kompromittierte über 65 Windows-Server

Siehe auch:
Thema:
Viren & Trojaner
Jetzt einen Kommentar schreiben


Alle Kommentare zu dieser News anzeigen
Beliebte Downloads
Weitere Downloads
Beliebt im Preisvergleich
Antivirus Preisvergleich
Neue Nachrichten
Themenübersicht
Tipp einsenden
Hinweise zum Einsenden von Tipps
❤ WinFuture unterstützen
Sie wollen online einkaufen? Dann nutzen Sie bitte einen der folgenden Links, um WinFuture zu unterstützen: Vielen Dank!