Исследователи безопасности обнаружили новую кибератаку, направленную на манипулирование результатами поисковых систем (SEO). Кампания под названием DragonRank затронула несколько стран Азии и Европы, включая Таиланд, Индию, Корею, Бельгию, Нидерланды и Китай. Киберпреступники используют уязвимости веб-приложений для взлома серверов и запуска вредоносного ПО.

Специалисты Cisco Талос сообщил что атаки начинаются со взлома веб-приложений, таких как phpMyAdmin и WordPress. Злоумышленники используют вредоносное ПО, такое как BadIIS, используя уязвимости системы. Это превращает атакованные серверы в площадки для мошеннических операций, связанных с SEO-манипуляциями.

BadIIS позволяет злоумышленникам изменять содержимое веб-сайтов, чтобы влиять на алгоритмы поисковых систем. Это помогает продвигать сторонние сайты, увеличивать посещаемость мошеннических ресурсов и улучшать их рейтинг в результатах поиска. Основная цель — создать фейковый обзор для продвижения определенных сайтов, в том числе с контентом для взрослых.

Эксперты отмечают, что одной из главных особенностей этой кампании является использование вредоносного ПО для обхода механизмов безопасности. Например, BadIIS может выдавать себя за робота Googlebot и взаимодействовать с командами управления (C2), не будучи обнаруженным.

Атаки DragonRank охватывают широкий спектр отраслей, включая ювелирные изделия, средства массовой информации, здравоохранение, транспорт и даже организации фэн-шуй. Злоумышленники активно используют утилиты для кражи учетных данных и программные инструменты, такие как Mimikatz и PlugX, для сохранения контроля над скомпрометированными системами.

Аналитики также отметили, что злоумышленники предоставляют своим клиентам подробные рекламные планы, которые позволяют им выбирать ключевые слова и целевые рынки для оптимизации своих мошеннических веб-сайтов. Хакеры активно взаимодействуют с клиентами через мессенджеры Telegram и QQ и предлагают услуги по продвижению сайтов на определенных языках и в определенных странах.

Эксперты призывают компании проявлять бдительность и следить за безопасностью своих веб-приложений, поскольку такие кампании становятся все более изощренными и нацелены на уязвимые сервисы.