ОперацияBadIIS: Раскрытие сети коммерческого вредоносного ПО, используемого китайскоязычными группами угроз
Команда исследователей Cisco Talos обнаружила вариант вредоносного ПО BadIIS, содержащий строки "demo.pdb", который используется несколькими китайскоязычными группами киберпреступности в модели malware-as-a-service (MaaS). Это вредоносное ПО способно проводить SEO-манипуляции, контент-инъекции и прокси-редиректы. Исследователи обнаружили инструменты, позволяющие злоумышленникам генерировать конфигурационные файлы и настраивать полезную нагрузку.
Введение
Команда исследователей Cisco Talos обнаружила вариант вредоносного ПО BadIIS, содержащий строки "demo.pdb", который используется несколькими китайскоязычными группами киберпреступности в модели malware-as-a-service (MaaS). Это вредоносное ПО способно проводить SEO-манипуляции, контент-инъекции и прокси-редиректы. Вредоносное ПО было обнаружено в атаках по всему миру, включая Азию, Африку, Европу и Северную Америку.Подробности
Исследователи обнаружили, что вредоносное ПО BadIIS содержит строки "demo.pdb", которые позволяют отслеживать его развитие и распространение. Анализ программных баз данных (PDB) показал, что вредоносное ПО было разработано китайскоязычным автором под псевдонимом "lwxat". Разработка началась не менее сентября 2021 года и продолжается до сих пор. Исследователи также обнаружили инструменты, позволяющие злоумышленникам генерировать конфигурационные файлы, настраивать полезную нагрузку и inject параметры в бинарные файлы BadIIS. Это позволяет проводить различные tipos атак, включая редиректы трафика, манипуляцию поисковыми системами и контент-инъекции.Что делать
Чтобы защититься от вредоносного ПО BadIIS, пользователям рекомендуется использовать антивирусное программное обеспечение, которое может обнаруживать и удалять это вредоносное ПО. Кроме того, важно обновлять операционную систему и приложения до последних версий, использовать сильные пароли и двухфакторную аутентификацию (MFA). Также рекомендуется использовать VPN и шифровать передаваемые данные с помощью протокола TLS. Исследователи Cisco Talos продолжают отслеживать вредоносное ПО BadIIS и другие угрозы, чтобы предоставлять более полную защиту пользователям.Источник: Cisco Talos Intelligence
