Código HTML do Conteúdo
Post: Servidores IIS comprometidos por hackers chineses para manipulação de SEO
<div>
<div>
<p>A Cisco Talos revelou que o UAT-8099, um grupo de crime cibernético de língua chinesa, vem explorando servidores vulneráveis ​​de serviços de informação na Internet (IIS) em vários países para conduzir <a href="https://gbhackers.com/threat-actors-manipulate-search-results-to-lure-users/" rel="noreferrer noopener" target="_blank">Otimização do mecanismo de pesquisa</a> (SEO) Fraude e roubar dados de alto valor.</p>
<p>Identificada em abril de 2025, este grupo tem como alvo servidores respeitáveis ​​do IIS na Índia, Tailândia, Vietnã, Canadá e Brasil, com foco em organizações como universidades, empresas de tecnologia e fornecedores de telecomunicações.</p>
<p>Seu principal objetivo é aumentar o ranking de pesquisa de sites maliciosos e redirecionar o tráfego legítimo para anúncios não autorizados e plataformas ilegais de jogo.</p>
<h2 id="h-campaign-overview"><strong>Visão geral da campanha</strong></h2>
<p>A campanha UAT-8099 começa com o reconhecimento em servidores IIS não patches que permitem uploads de arquivos irrestritos.</p>
<p>Depois que uma vulnerabilidade é encontrada, os atores de ameaças carregam um shell da web ASP.NET de código aberto para executar comandos e reunir informações do sistema.</p>
<p>Esse acesso inicial permite que eles criem e elevem uma conta de usuário convidado aos privilégios do administrador, permitindo o acesso ao RDP (Remote Desktop Protocol).</p>
<p>O grupo então implanta conchas da Web e usa ferramentas de hackers de código aberto ao lado do ataque de cobalto para estabelecer e manter a persistência.</p>
<p>Cisco Talos <a href="https://blog.talosintelligence.com/uat-8099-chinese-speaking-cybercrime-group-seo-fraud/" rel="noreferrer noopener nofollow" target="_blank">descoberto</a> Várias novas variantes de malware Badiis nesta campanha, incluindo clusters com detecção de antivírus mínima e aqueles que contêm mensagens de depuração chinesa simplificadas.</p>
<p>Após obter acesso inicial, o UAT-8099 assegura o controle de longo prazo, ativando o RDP, instalando o Softether VPN, usando a ferramenta VPN descentralizada easyTier e a configuração do proxy reverso do FRP.</p>
<p>Eles escalam privilégios com ferramentas públicas, dump credenciais usando o ProcDump e compactam dados roubados com Winrar. Para bloquear outros atacantes, eles instalam o D_SAFE_MANAGE, uma ferramenta conhecida de segurança do Windows IIS.</p>
<p>Os scripts de automação do grupo otimizam tarefas como instalação de módulos, configuração de RDP e criação de tarefas programadas para margar um berçal de cobalto sob o disfarce de um provedor de código WMI legítimo.</p>
<p>As defesas em camadas e os scripts personalizados os ajudam a evitar a detecção e a manter o acesso ininterrupto a servidores comprometidos.</p>
<p><strong>Manipulação e impacto de SEO</strong></p>
<p>Depois que a persistência é estabelecida, o malware badiis é usado para manipular rastreadores de mecanismos de busca e visitantes humanos.</p>
<p>O manipulador OnBeginRequest verifica os cabeçalhos HTTP quanto aos valores do agente de usuário e do referente para determinar se atuam como proxy ou injetar javascript malicioso.</p>
<p>Quando o Googlebot é detectado, o malware serve conteúdo ou backlinks criados para inflar rankings de pesquisa. Para usuários humanos referidos nos mecanismos de pesquisa, ele injeta JavaScript que redireciona os navegadores para sites de jogos de azar ou anúncio.</p>
<p>O manipulador OnsendResponse aprimora ainda mais a fraude, fornecendo conteúdo focado em SEO projetado especificamente para rastreadores, seguido de redirecionamentos direcionados para os usuários que encontram páginas de erro.</p>
<p>Ao comprometer vários servidores do IIS em todo o mundo, o UAT-8099 cria uma rede de sites de alta realização que aumentam coletivamente a visibilidade de seus destinos maliciosos.</p>
<p>Os usuários móveis nos dispositivos Android e iOS são particularmente afetados, pois os servidores comprometidos servem páginas de download de aplicativos APK e iOS personalizados.</p>
<p>A Cisco Talos continua monitorando esta campanha, pedindo às organizações que protejam seus servidores do IIS aplicando os patches mais recentes, restringindo os tipos de upload de arquivos, aplicando políticas de contas fortes e implantando soluções robustas de monitoramento.</p>
<p>A falha em abordar essas vulnerabilidades não apenas corre o risco de interrupção operacional, mas também facilita a fraude de SEO em larga escala e o roubo de credenciais.</p>
<p><strong>Siga -nos<a href="https://news.google.com/publications/CAAqKAgKIiJDQklTRXdnTWFnOEtEV2RpYUdGamEyVnljeTVqYjIwb0FBUAE?hl=en-IN&gl=IN&ceid=IN%3Aen" rel="noreferrer noopener nofollow" target="_blank">Google News</a>Assim,<a href="https://www.linkedin.com/company/cyber-threat-intel/" rel="noreferrer noopener nofollow" target="_blank">LinkedIn</a>e<a href="https://x.com/The_Cyber_News" rel="noreferrer noopener nofollow" target="_blank">X</a>Para obter atualizações instantâneas e definir GBH como uma fonte preferida em <a href="https://www.google.com/preferences/source?q=https://gbhackers.com/" rel="noreferrer noopener nofollow" target="_blank">Google</a>.</strong></p>
</div></div>