BadIIS Malware Espalha-se via SEO Poisoning — Redireciona Tráfego e Instala Web Shells

Pesquisadores de segurança cibernética identificaram uma campanha de envenenamento de SEO usando um malware chamado BadIIS, provavelmente conduzida por um ator de ameaça de língua chinesa. A operação, chamada Operation Rewrite, tem como alvo principalmente o Leste e Sudeste Asiático, com foco no Vietnã.

Como Funciona o Ataque

O BadIIS é um módulo malicioso para Internet Information Services (IIS) que intercepta e modifica o tráfego HTTP para:

• Envenenamento de SEO: Manipula resultados de mecanismos de pesquisa direcionando tráfego para sites indesejados
• Redirecionamento: Serve conteúdo malicioso através de servidores legítimos comprometidos
• Persistência: Instala web shells para acesso remoto persistente

Mecanismo de Ataque

O malware identifica crawlers de mecanismos de pesquisa através do cabeçalho User-Agent e injeta conteúdo envenenado para:

• Melhorar artificialmente o ranking de sites comprometidos
• Redirecionar usuários para sites de golpes
• Criar contas de usuário locais e exfiltrar código-fonte

Variantes do BadIIS

Os atacantes utilizam três variantes principais:

1. Manipulador leve ASP.NET para envenenamento de SEO
2. Módulo .NET gerenciado para injetar links de spam
3. Script PHP completo que combina redirecionamento e envenenamento dinâmico

Conexões com Outros Grupos

A operação mostra sobreposições de infraestrutura com entidades conhecidas como Group 9 (ESET) e DragonRank, indicando possível ligação com atores de ameaça chineses.

Esta campanha segue padrões semelhantes ao recente ataque GhostRedirector, que comprometeu 65 servidores Windows para fraudes de SEO.