BadIIS, le malware qui transforme les serveurs web IIS en passerelles malveillantes
Une récente vague de cyberattaques a mis en lumière l’exploitation des serveurs Web IIS par des cybercriminels utilisant le malware BadIIS. Faisons le point sur cette menace.
Une campagne malveillante basée sur le malware BadIIS
Des chercheurs en sécurité de chez Trend Micro ont découvert une campagne malveillante basée sur la manipulation SEO, c'est-à-dire des résultats de recherche Web. Les cybercriminels s'appuient sur le malware BadIIS pour compromettre des serveurs IIS (Windows) en Asie. Lorsqu'un serveur est compromis, les pirates peuvent l'utiliser pour effectuer deux actions différentes lorsqu'un utilisateur s'y connecte :
- Connexion à des sites de jeux d'argent illégaux : le contenu modifié redirige les utilisateurs vers des sites liés à des jeux d'argent illégaux.
- Connexion à des serveurs malveillants : les utilisateurs sont redirigés vers des serveurs contrôlés par les attaquants qui hébergent du contenu malveillant tel que des malwares. Cela correspond à la technique appelée "watering hole".
Les chercheurs en sécurité évoquent aussi l'affichage de publicités non autorisées. Il s'agirait d'une campagne menée à des fins lucratives. Plusieurs pays sont impactés par cette campagne malveillante, majoritairement en Asie : Inde, Thaïlande, Vietnam, Philippines, Singapour, Taïwan, Corée du Sud, Japon et Brésil. Il y aurait aussi des serveurs compromis en Allemagne et en Australie, ce qui montre qu'il y a une étendue assez large au niveau des victimes.
Les serveurs IIS visés comprennent des machines appartenant au gouvernement, aux universités, aux entreprises technologiques et aux secteurs des télécommunications. Nous avons constaté que les régions touchées ne se limitaient pas à l'emplacement des machines compromises.", peut-on lire dans le rapport.
Les techniques d'exploitation de BadIIS
Les chercheurs en sécurité de chez Trend Micro évoque des similitudes fonctionnelles avec une variante précédemment utilisée par Group11. "Cependant, la nouvelle variante comporte un gestionnaire appelé "OnSendResponse" au lieu de "OnBeginRequest".", précise le rapport.
Ainsi, pour rediriger les utilisateurs, le malware BadIIS s'appuie sur deux techniques différentes d'exploitation :
- Fraude SEO : il analyse les requêtes HTTP pour identifier les visiteurs provenant de moteurs de recherche. Si certains mots-clés ou sites spécifiques sont détectés, l’utilisateur est redirigé vers des sites de jeux d’argent au lieu de la page initialement demandée, manipulant ainsi le référencement web.
- Injection de code : BadIIS insère du code JavaScript malveillant dans les réponses aux requêtes des visiteurs légitimes, les conduisant vers des sites destinés à distribuer des malwares.
La technique appelée "Fraude SEO" est illustrée sur le schéma ci-dessous.
Pour vous protéger de cette campagne malveillante, vous devez maintenir à jour votre serveur IIS, vérifier sa configuration et assurer une maintenance régulière de l'application qu'il héberge. Les pirates exploitent probablement des vulnérabilités connues et des défauts de sécurité.
Source : Trend Micro
