Hackers están aprovechando servidores vulnerables para tomar el control de sitios web y usarlos para robar credenciales de las personas, desplegar malware y más. Un informe de Cisco Talos, quienes han estado rastreando la actividad por algún tiempo, reveló que el grupo primero busca servicios de aplicaciones web vulnerables como phpMyAdmin, WordPress o similares. Luego, utilizan las vulnerabilidades para desplegar un shell web que les otorga control sobre el servidor.
Finalmente, el shell web les permite recopilar información del sistema, o desplegar malware adicional como PlugX o BadIIS, o ejecutar diferentes infostealers como Mimikatz, GodPotato y otros. Para lograr que las personas visiten los sitios infectados, el grupo utiliza envenenamiento SEO, empujando los sitios hacia arriba en las páginas de resultados de los motores de búsqueda.
Los investigadores están llamando a esta nueva amenaza “DragonRank”. Creen que el grupo está apuntando principalmente a organizaciones en Asia, con unas pocas víctimas encontradas en Europa también. Hasta ahora, el malware ha sido detectado en Tailandia, India, Corea, Bélgica, Países Bajos y China.
Las víctimas provienen de todo tipo de industrias, incluyendo joyería, medios de comunicación, servicios de investigación, salud, producción de video y televisión, fabricación, transporte, organizaciones religiosas y espirituales, servicios de TI, relaciones internacionales, agricultura, deportes e incluso mercados de nicho como el feng shui.
Todo esto lleva a los investigadores a concluir que DragonRank realmente no tiene un objetivo particular y simplemente busca comprometer tantas organizaciones como sea posible.
Hasta ahora, más de 35 servidores IIS fueron comprometidos y desplegaron el malware BadIIS, concluyeron los investigadores. BadIIS fue descubierto por primera vez en 2020 y actúa como una puerta trasera que otorga acceso no autorizado a servidores comprometidos. Una de sus características clave es la sigilo, ya que utiliza técnicas avanzadas para evadir la detección.
Inscríbase en el boletín de TechRadar Pro para recibir todas las principales noticias, opiniones, características y orientación que su empresa necesita para tener éxito!
Dado que el grupo tiene un sitio web comercial, un modelo de negocio y cuentas de mensajería instantánea, los investigadores concluyeron que es probable que el grupo sea de origen chino.