Los investigadores de ciberseguridad han descubierto un grupo de amenazas previamente indocumentado denominado Redirector fantasma que ha logrado comprometer al menos 65 servidores Windows ubicados principalmente en Brasil, Tailandia y Vietnam.
Los ataques, según la empresa eslovaca de ciberseguridad ESET, llevaron al despliegue de una puerta trasera pasiva de C++ llamada Rungan y de un módulo nativo de Internet Information Services (IIS) con el nombre en código Gamshen. Se cree que el actor de la amenaza está activo al menos desde agosto de 2024.
«Si bien Rungan tiene la capacidad de ejecutar comandos en un servidor comprometido, el propósito de Gamshen es ofrecer el fraude de SEO como un servicio, es decir, manipular los resultados de los motores de búsqueda para aumentar el ranking de páginas de un sitio web objetivo configurado», dijo el investigador de ESET Fernando Tavella dijo en un informe compartido con The Hacker News.
«Aunque Gamshen solo modifica la respuesta cuando la solicitud proviene del robot de Google (es decir, no publica contenido malintencionado ni afecta de ningún otro modo a los visitantes habituales de los sitios web), la participación en el plan de fraude de SEO puede dañar la reputación del sitio web anfitrión comprometido al asociarlo con técnicas de SEO sospechosas y con sitios web promocionados».
Algunos de los otros objetivos del grupo de hackers incluyen Perú, EE. UU., Canadá, Finlandia, India, los Países Bajos, Filipinas y Singapur. También se dice que la actividad es indiscriminada, y se destaca a las entidades de los sectores de la educación, la salud, los seguros, el transporte, la tecnología y el comercio minorista.
El acceso inicial a las redes de destino se logra mediante la explotación de una vulnerabilidad, probablemente una falla de inyección de SQL, tras lo cual PowerShell se utiliza para ofrecer herramientas adicionales alojadas en un servidor provisional («868id [.] com»).
«Esta conjetura está respaldada por nuestra observación de que la mayoría de las ejecuciones no autorizadas de PowerShell se originaron en el archivo binario sqlserver.exe, que contiene un procedimiento almacenado xp_cmdshell que se puede usar para ejecutar comandos en una máquina», dijo ESET.
Rungan está diseñado para esperar las solicitudes entrantes de una URL que coincida con un patrón predefinido (es decir, "https://+:80/v1.0/8888/sys.html «) y, a continuación, procede a analizar y ejecutar los comandos incrustados en ellas. Soporta cuatro comandos diferentes:
- mkuser, para crear un usuario en el servidor con el nombre de usuario y la contraseña proporcionados
- listfolder, para recopilar información de una ruta proporcionada (sin terminar)
- addurl, para registrar nuevas URL que la puerta trasera pueda escuchar
- cmd, para ejecutar un comando en el servidor mediante canalizaciones y Crear ProcessA API
Escrito en C/C++, Gamshen es un ejemplo de una familia de malware para IIS llamada» Grupo 13 », que puede actuar como puerta trasera y llevar a cabo fraudes de SEO. Su funcionamiento es similar al de IISerpent, otro malware específico de IIS que fue documentado por ESET en agosto de 2021.
II Serpiente , configurada como una extensión maliciosa para el software de servidor web de Microsoft, le permite interceptar todas las solicitudes HTTP realizadas a los sitios web alojados en el servidor comprometido, específicamente las que provienen de rastreadores de motores de búsqueda, y cambiar las respuestas HTTP del servidor con el objetivo de redirigir los motores de búsqueda a un sitio web fraudulento que elija el atacante.
«GhostRedirector intenta manipular la clasificación de búsqueda en Google de un sitio web específico de terceros mediante el uso de técnicas de SEO manipuladoras y turbias, como la creación de backlinks artificiales desde el sitio web legítimo y comprometido al sitio web objetivo», dijo Tavella.
Actualmente no se sabe a dónde redirigen estos backlinks a los usuarios desprevenidos, pero se cree que el esquema de fraude de SEO se está utilizando para promocionar varios sitios web de juegos de azar.
Junto con Rungan y Gamshen, también se incluyen varias otras herramientas:
- GoToHTTP para establecer una conexión remota a la que se pueda acceder desde un navegador web
- BadPotato o EFSPotato para crear un usuario privilegiado en el grupo de administradores
- Zunput para recopilar información sobre los sitios web alojados en el servidor IIS y eliminar los shell web de ASP, PHP y JavaScript
Se considera con un nivel de confianza medio que GhostreDirector es un actor de amenazas alineado con China basándose en la presencia de cadenas chinas codificadas en el código fuente, un certificado de firma de código emitido a una empresa china, Shenzhen Diyuan Technology Co., Ltd., para firmar los artefactos de escalada de privilegios y el uso de la contraseña «huang» para uno de los usuarios creados por GhostreDirector en el servidor comprometido.
Dicho esto, GhostRedirector no es el primer actor de amenazas vinculado a China que utiliza módulos maliciosos de IIS para el fraude de SEO. Durante el año pasado, tanto Cisco Talos como Trend Micro crearon un grupo de habla china conocido como Rango de dragón que se ha dedicado a la manipulación del SEO a través del malware BadiIS.
«Gamshen abusa de la credibilidad de los sitios web alojados en el servidor comprometido para promocionar un sitio web de juegos de azar de terceros, lo que podría ser un cliente de pago que participe en un plan de fraude como servicio de SEO», afirma la empresa.
«GhostRedirector también demuestra su persistencia y resiliencia operativa al implementar múltiples herramientas de acceso remoto en el servidor comprometido, además de crear cuentas de usuario fraudulentas, todo ello para mantener el acceso a largo plazo a la infraestructura comprometida».