Si su servidor IIS responde de forma distinta a Google y a los usuarios, conviene revisarlo

En una gran infraestructura de red han surgido nuevos indicios de una sustitución a gran escala de servidores IIS, durante la cual los atacantes convirtieron cientos de dominios legítimos en una plataforma para promover sitios fraudulentos. Según del equipo WithSecure, los operadores de la campaña WEBJACK desarrollan la técnica de inyección oculta de módulos BadIIS, utilizándolos para manipular los resultados de búsqueda y monetizar el tráfico.

El mecanismo se basa en engañar a los rastreadores, a los que se les suministra contenido optimizado, mientras que a los visitantes normales se muestran las páginas originales o mensajes de error. Este enfoque permite mantener la apariencia externa de los sitios sin cambios y, a la vez, obtener beneficio redirigiendo a los usuarios a casinos y servicios de apuestas.

Los módulos inyectables de IIS con los nombres «fashttp.dll» y «cgihttp.dll», protegidos por el empaquetador comercial Enigma, forman la base del esquema. Usan el punto de entrada estándar RegisterModule, registrando manejadores de solicitudes que interceptan peticiones y crean URL externas para inserción o redirección. Las cadenas internas, las rutas a archivos PDB y las marcas temporales de compilación indican una compilación reciente y una infraestructura cuidadosamente ensamblada. Todo ello confirma la relación con la familia BadIIS, para la que estas técnicas son características.

Después de la inyección con éxito, los módulos atienden a los rastreadores de manera especial: sustituyen páginas, crean nuevas rutas en el dominio comprometido y entregan HTML con contenido desde servidores como «seo.667759.com» o «w3c.sneaws.com». Para los usuarios normales, la sustitución pasa desapercibida.

Cuando el buscador indexa las páginas insertadas, los operadores obtienen acceso a la alta posición y reputación del recurso comprometido. Luego el tráfico procedente del buscador se redirige a sitios de juegos de azar. A veces el módulo no sustituye la página por completo, sino que solo añade un conjunto de enlaces obtenidos de servidores de control, y la lista cambia cada día para ocultar la actividad.

En los servidores comprometidos se encontró un conjunto extenso de herramientas comunes en comunidades de pentesters de habla china: cargadores de shellcode, escáneres internos, herramientas de ocultación de archivos, acceso remoto y limpieza de registros. Parte del software resultó infectado por el virus m0yv, lo que indica que los operadores usaron compilaciones de terceros sin verificar su limpieza. En algunos nodos también operaban balizas de Cobalt Strike dirigidas a nodos externos y direcciones internas a través de túneles SoftEther.

La investigación afectó a 112 dominios, principalmente en Vietnam, así como en países de América Latina y Asia. Entre los afectados hubo recursos gubernamentales, universidades y portales regionales. En la indexación se encontraron palabras clave en vietnamita, inglés y español, lo que refleja la orientación del esquema a atraer jugadores de regiones concretas. Errores de PHP en los servidores de los atacantes permitieron ver la arquitectura de los paneles de control, así como fragmentos de comentarios y palabras en chino. Esto concuerda con las herramientas empleadas y confirma el origen del grupo.

La identificación de los operadores es difícil; sin embargo, ciertos indicios se solapan con la actividad de DragonRank, que ya se había observado en operaciones similares. No obstante, WEBJACK carece de elementos clave característicos de ese grupo, por lo que ambas campañas se consideran por ahora distintas. Independientemente del origen, la actividad demuestra cuán peligrosa se está volviendo la sustitución de módulos IIS: los abusos de SEO son solo una parte de los posibles escenarios, ya que las herramientas presentes permiten ampliar los ataques, incluyendo el sigilo, la preservación del control y la ejecución de componentes externos.

Para reducir riesgos, los administradores deben monitorizar la aparición de archivos DLL desconocidos en los módulos IIS, controlar el comportamiento de red de los servidores y registrar las diferencias entre la salida para los robots y para los visitantes normales. La presencia de XlAnyLoader, FScan, CnCrypt o utilidades de limpieza de registros en la red corporativa puede indicar una intrusión oculta y requiere una verificación inmediata.