Un nuevo actor de amenaza, denominado “Ghostredirector”, está llevando a cabo una sofisticada campaña de manipulación de optimización de motores de búsqueda (SEO) dirigida a impulsar artificialmente las clasificaciones de búsqueda de sitios web de juegos de azar. Los investigadores de ESET creen que el grupo probablemente se basa en China. La operación, que comenzó alrededor de agosto de 2024, implica comprometer sitios web que se ejecutan en los servidores web de Windows e implementando herramientas de malware para aumentar los privilegios, mantener la persistencia y manipular los rastreadores de indexación del sitio web de Google. Docenas de sitios web han sido afectados, principalmente en Brasil, Vietnam y Tailandia. Un pequeño número de sitios comprometidos se basa en los EE. UU., Pero parecen pertenecer a empresas con operaciones primarias en los países objetivo. El análisis de ESET reveló que las víctimas abarcan una amplia gama de sectores, incluidos la atención médica, la educación, el transporte, el seguro, el comercio minorista y la tecnología, lo que sugiere que la orientación no es específica del sector. La cadena de ataque comienza con Ghostredirector ganando acceso inicial a los servidores web de Windows, probablemente al explotar las vulnerabilidades de inyección SQL sin parpadear. Una vez dentro, el actor de amenaza usa PowerShell para descargar un conjunto de herramientas de malware, incluidos dos componentes previamente invisibles que ESET rastrea como Rungan y Gamshen. La escalada de privilegios se logra utilizando dos exploits conocidos, EFSpotato y Badpotato. Rungan es una puerta trasera pasiva escrita en C ++ que otorga a los atacantes acceso remoto a servidores web comprometidos y les permite ejecutar comandos arbitrarios. Gamshen es un componente nativo de Servicios de Información de Internet (IIS) con capacidades maliciosas. IIS es el software del servidor web de Microsoft que alimenta muchos sitios web basados en Windows. Cuenta con una arquitectura modular que los desarrolladores pueden usar para extender o agregar nuevas características del servidor web propios. Una vez instalado, un componente IIS nativo funciona a nivel de servidor con altos privilegios, lo que dificulta la detección y eliminación. La función principal de Gamshen es inyectar enlaces en secreto a sitios web que Ghostredirector quiere promover. Cuando Googlebot de Google visita un sitio web comprometido para indexarlo, Gamshen detecta el rastreador del motor de búsqueda e inyecta enlaces que apuntan al sitio web de destino al contenido de la página. Esto crea vínculos de retroceso de sitios web legítimos, pero comprometidos, que aumentan artificialmente las clasificaciones de búsqueda de los sitios web de juegos de azar específicos. ESET describió las extensiones de IIS maliciosas como Gamshen como herramientas para “interceptar las solicitudes HTTP entrantes al servidor IIS comprometido y afectar cómo responde el servidor a (algunas de) estas solicitudes”. Microsoft también ha reconocido la amenaza planteada por las extensiones maliciosas de IIS, advirtiendo que los adversarios pueden usarlos para establecer puertas traseras persistentes en servidores web críticos. Splunk emitió una advertencia en julio sobre los actores de amenazas que combinan hazañas para múltiples vulnerabilidades cruciales de SharePoint con módulos IIS maliciosos para lograr una persistencia profunda en los sistemas vulnerables. Según Microsoft, las puertas traseras de IIS son difíciles de detectar porque “en su mayoría residen en los mismos directorios que los módulos legítimos utilizados por las aplicaciones objetivo y siguen la misma estructura de código que los módulos limpios”. Ghostredirector no es el primer actor de amenaza con sede en China que emplea técnicas de envenenamiento por SEO. Cisco Talos informó el año pasado que Dragonfly, otro actor chino, utilizó una técnica similar con malware llamada Badiis. ESET recomienda que las organizaciones usen cuentas dedicadas, contraseñas de seguros y autenticación multifactor para administradores de servidores IIS. La compañía también informa que los administradores aseguran que los módulos IIS nativos solo puedan instalarse en fuentes confiables y que un proveedor de confianza firme.
Source: Eset encuentra la campaña de SEO de Ghostredirector dirigido a sitios de juego
