Seo

Pesquisadores da Cisco Talos identificaram um grupo de hackers chineses, conhecido como UAT-8099, que manipula mecanismos de busca para infectar servidores, especialmente os da Microsoft (IIS), no Brasil e em outros países. O ataque visa roubar credenciais, arquivos de configuração e certificados de vítimas, incluindo universidades e empresas de tecnologia. O grupo utiliza técnicas de SEO para manter seus sites maliciosos em posições altas nos resultados de busca, empregando malwares como o BadIIS, que possui táticas de evasão de antivírus. Os hackers exploram vulnerabilidades em servidores IIS, como configurações inadequadas e brechas de segurança, criando backdoors para garantir acesso contínuo, mesmo após a remoção de arquivos maliciosos. O uso de ferramentas open-source, como Cobalt Strike, e técnicas de proxy ajudam a evitar a detecção. O impacto ainda não é totalmente claro, mas a situação requer atenção, especialmente para organizações que utilizam servidores IIS.

Um novo relatório da Cisco Talos revela uma campanha de cibercrime em larga escala conduzida pelo grupo de hackers UAT-8099, que tem como alvo servidores vulneráveis do Internet Information Services (IIS) em países como Índia, Tailândia, Vietnã, Canadá e Brasil desde abril de 2025. O foco principal do grupo é manipular rankings de otimização para motores de busca (SEO), redirecionando tráfego valioso para anúncios não autorizados e sites de jogos de azar, enquanto exfiltra dados sensíveis de instituições proeminentes.

Um novo ataque cibernético, denominado Operação Rewrite, utiliza um módulo malicioso chamado BadIIS para sequestrar servidores web legítimos que operam com o Internet Information Services (IIS). Observada pela primeira vez em março de 2025, essa campanha de envenenamento de SEO redireciona visitantes desavisados para sites fraudulentos e de malware. A análise indica que os atacantes, presumivelmente de origem chinesa, empregam uma abordagem em duas fases: na fase de envenenamento, o BadIIS intercepta solicitações de crawlers de motores de busca e serve conteúdo malicioso que é indexado, enquanto na fase de redirecionamento, usuários reais são levados a sites controlados pelos atacantes. O BadIIS apresenta várias variantes, incluindo um manipulador ASP.NET e um módulo C# que intercepta erros 404 para injetar páginas de golpe. Para mitigar esses ataques, as equipes de segurança devem auditar listas de módulos do IIS e monitorar conexões de saída para domínios de comando e controle identificados. Ferramentas como Palo Alto Networks podem ajudar a bloquear esses conteúdos maliciosos e interromper comunicações com os atacantes.