BadIIS Malware: Mối đe dọa SEO Poisoning nhắm vào Việt Nam và khu vực

[Kaya]

Các nhà nghiên cứu an ninh mạng cảnh báo về một chiến dịch tấn công mạng tinh vi mang tên Operation Rewrite. Chiến dịch này khai thác SEO poisoning (kỹ thuật đầu độc kết quả tìm kiếm), nhằm điều hướng người dùng từ các trang web hợp pháp sang các website cờ bạc, nội dung người lớn hay lừa đảo. Đáng chú ý là chiến dịch này đang tập trung mạnh vào Đông Nam Á, đặc biệt là Việt Nam, khiến nhiều tổ chức và cá nhân đứng trước nguy cơ bị lừa đảo, mất dữ liệu hoặc trở thành “công cụ” tiếp tay cho kẻ tấn công.

Theo các chuyên gia, nhóm tin tặc đứng sau Operation Rewrite được đặt tên tạm là CL-UNK-1037. Nhóm này có nhiều điểm tương đồng về hạ tầng và cách thức hoạt động với Group 9 hay một tổ chức khác gọi là DragonRank.

Trung tâm của chiến dịch là một phần mềm độc hại mang tên BadIIS, được cài cắm như một module độc hại trong hệ thống Microsoft IIS (Internet Information Services), là nền tảng máy chủ web phổ biến. BadIIS hoạt động bằng cách:

• Chặn và chỉnh sửa lưu lượng truy cập HTTP đến website hợp pháp.
• Chèn thêm từ khóa, liên kết và nội dung độc hại để “đánh lừa” công cụ tìm kiếm.
• Khi người dùng click vào kết quả tìm kiếm, họ sẽ bị chuyển hướng sang các trang scam hoặc lừa đảo.

Điểm nguy hiểm là BadIIS có khả năng nhận diện các bot của công cụ tìm kiếm (như Google, Bing) thông qua User-Agent, sau đó liên hệ với máy chủ điều khiển (C2 server) để lấy nội dung giả mạo. Nhờ đó, website hợp pháp bị biến thành công cụ SEO giả mạo mà chủ quản không hề hay biết.

Cơ chế tấn công được mô tả khá tinh vi:

1. Tạo mồi: Kẻ tấn công lợi dụng BadIIS để đưa nội dung giả mạo cho công cụ tìm kiếm. Website vốn không liên quan bỗng xuất hiện trên kết quả tìm kiếm cho những từ khóa “nóng” về cờ bạc, nội dung người lớn hoặc dịch vụ lừa đảo.
2. Bẫy nạn nhân: Người dùng tìm kiếm, thấy website có uy tín trong kết quả, click vào và bị chuyển hướng sang trang scam.
3. Duy trì kiểm soát: Trong một số vụ, tin tặc còn tạo tài khoản cục bộ, cài web shell để duy trì truy cập từ xa, đánh cắp mã nguồn và triển khai thêm malware.

Đáng chú ý, các chuyên gia đã ghi nhận ít nhất một trường hợp, kẻ tấn công còn dùng quyền truy cập vào search engine crawler để mở rộng phạm vi tấn công sang nhiều hệ thống khác.

Ngoài module IIS độc hại, nhóm tin tặc còn triển khai thêm nhiều công cụ biến thể nhằm đa dạng cách tấn công:

• Một ASP.NET handler nhẹ, làm nhiệm vụ proxy để tải nội dung giả từ máy chủ C2.
• Một .NET IIS module có khả năng chỉnh sửa mọi request để chèn link spam.
• Một script PHP đa năng vừa chuyển hướng người dùng vừa thao túng SEO.

Tất cả đều phục vụ mục tiêu chung đó là kiểm soát lưu lượng truy cập và thao túng kết quả tìm kiếm.

Chiến dịch Operation Rewrite hiện đang nhắm đến Đông và Đông Nam Á, trong đó Việt Nam nằm trong vùng trọng điểm. Bên cạnh đó, một nhóm tin tặc khác liên quan là GhostRedirector, cũng đã tấn công hơn 65 máy chủ Windows ở Brazil, Thái Lan và Việt Nam với phương thức tương tự.

Ảnh hưởng không chỉ dừng lại ở người dùng bị lừa đảo truy cập website độc hại, mà còn:

• Các tổ chức vận hành website: Bị lợi dụng uy tín để phát tán nội dung xấu, tiềm ẩn nguy cơ pháp lý và uy tín thương hiệu.
• Người dùng Internet: Dễ dàng bị lừa vào các trang web cờ bạc, lừa đảo tài chính hoặc nhiễm phần mềm độc hại.
• Hệ sinh thái Internet: Công cụ tìm kiếm bị đầu độc, giảm tính tin cậy của kết quả tìm kiếm.

Operation Rewrite cho thấy xu hướng tấn công SEO poisoning ngày càng tinh vi, không chỉ dừng ở spam link mà đã tiến tới chiếm quyền kiểm soát hạ tầng máy chủ web. Việt Nam, vốn là thị trường thường xuyên bị nhắm tới trong các chiến dịch lừa đảo, cần đặc biệt cảnh giác.

Để giảm thiểu rủi ro, các chuyên gia đưa ra một số khuyến cáo:

• Đối với quản trị viên hệ thống và website:
  • Thường xuyên cập nhật và vá lỗi hệ thống IIS, framework ASP.NET, PHP.
  • Giám sát bất thường trong log truy cập, đặc biệt là hành vi tạo tài khoản trái phép hoặc chèn nội dung lạ.
  • Kiểm tra integrity (toàn vẹn) của các module IIS để phát hiện BadIIS hoặc biến thể.
• Đối với người dùng Internet:
  • Không click bừa các link từ công cụ tìm kiếm, nhất là liên quan đến cờ bạc hoặc dịch vụ nhạy cảm.
  • Cài đặt phần mềm bảo mật đáng tin cậy để phát hiện website độc hại.
  • Thận trọng trước các trang chuyển hướng bất thường từ website vốn hợp pháp.

Trong kỷ nguyên số, khi niềm tin vào công cụ tìm kiếm có thể bị lợi dụng, người dùng cần cảnh giác hơn bao giờ hết. Operation Rewrite là lời nhắc nhở rằng các cuộc tấn công mạng không chỉ nhắm đến dữ liệu cá nhân mà còn âm thầm thao túng cách chúng ta tiếp cận thông tin hàng ngày.

Theo WhiteHat.vn​

 

Được phối hợp thực hiện bởi các chuyên gia của Bkav, cộng đồng An ninh mạng Việt Nam WhiteHat và cộng đồng Khoa học công nghệ VnReview