10 février 2025

Krusell France

Ta dose d'actu digital !

Eliminez le malware BadIIS de vos serveurs IIS : découvrez comment se protéger

12 heures ago Julien Castex
Le malware BadIIS se propage sur les serveurs web IIS - 2025
Rate this post

Une récente vague de cyberattaques a mis en lumière l’exploitation des serveurs Web IIS par des cybercriminels utilisant le malware BadIIS. Faisons le point sur cette menace.

Sommaire masquer
1 Une campagne malveillante basée sur le malware BadIIS
2 Les techniques d’exploitation de BadIIS
3 Actualités similaires :

Une campagne malveillante basée sur le malware BadIIS

Des chercheurs en sécurité de chez Trend Micro ont découvert une campagne malveillante basée sur la manipulation SEO, c’est-à-dire des résultats de recherche Web. Les cybercriminels s’appuient sur le malware BadIIS pour compromettre des serveurs IIS (Windows) en Asie. Lorsqu’un serveur est compromis, les pirates peuvent l’utiliser pour effectuer deux actions différentes lorsqu’un utilisateur s’y connecte :

Connexion à des sites de jeux d’argent illégaux : le contenu modifié redirige les utilisateurs vers des sites liés à des jeux d’argent illégaux.

Connexion à des serveurs malveillants : les utilisateurs sont redirigés vers des serveurs contrôlés par les attaquants qui hébergent du contenu malveillant tel que des malwares. Cela correspond à la technique appelée “watering hole”.

Les chercheurs en sécurité évoquent aussi l’affichage de publicités non autorisées. Il s’agirait d’une campagne menée à des fins lucratives. Plusieurs pays sont impactés par cette campagne malveillante, majoritairement en Asie : Inde, Thaïlande, Vietnam, Philippines, Singapour, Taïwan, Corée du Sud, Japon et Brésil. Il y aurait aussi des serveurs compromis en Allemagne et en Australie, ce qui montre qu’il y a une étendue assez large au niveau des victimes.

Les serveurs IIS visés comprennent des machines appartenant au gouvernement, aux universités, aux entreprises technologiques et aux secteurs des télécommunications. Nous avons constaté que les régions touchées ne se limitaient pas à l’emplacement des machines compromises.”, peut-on lire dans le rapport.

Les techniques d’exploitation de BadIIS

Les chercheurs en sécurité de chez Trend Micro évoque des similitudes fonctionnelles avec une variante précédemment utilisée par Group11. “Cependant, la nouvelle variante comporte un gestionnaire appelé “OnSendResponse” au lieu de “OnBeginRequest”.”, précise le rapport.

Ainsi, pour rediriger les utilisateurs, le malware BadIIS s’appuie sur deux techniques différentes d’exploitation :

Fraude SEO : il analyse les requêtes HTTP pour identifier les visiteurs provenant de moteurs de recherche. Si certains mots-clés ou sites spécifiques sont détectés, l’utilisateur est redirigé vers des sites de jeux d’argent au lieu de la page initialement demandée, manipulant ainsi le référencement web.

Injection de code : BadIIS insère du code JavaScript malveillant dans les réponses aux requêtes des visiteurs légitimes, les conduisant vers des sites destinés à distribuer des malwares.

La technique appelée “Fraude SEO” est illustrée sur le schéma ci-dessous.

Pour vous protéger de cette campagne malveillante, vous devez maintenir à jour votre serveur IIS, vérifier sa configuration et assurer une maintenance régulière de l’application qu’il héberge. Les pirates exploitent probablement des vulnérabilités connues et des défauts de sécurité. Source : Trend Micro

Source : www.it-connect.fr

  • julien castex redacteur tech

    Julien est un journaliste tech polyvalent avec une expérience couvrant divers aspects de la high tech, en passant par les smartphones et l'Intelligence Artificielle. Il écrit sur les dernières tendances technologiques, les startups et les projets innovants ainsi que les impacts de la technologie sur la société.

    Voir toutes les publications

Actualités similaires :

  1. Découvrez comment protéger votre serveur Linux contre le malware “Perfctl”
  2. Découverte du premier malware bancaire Android Snowblind, comment se protéger?
  3. Découvrez comment le malware Ratel RAT infecte les smartphones Android obsolètes
  4. Découvrez comment supprimer le malware BadBox de votre smartphone Android
  5. Découvrez la redoutable technique d’attaque DNSBomb et comment vous en protéger !
  6. Découvrez la faille de sécurité critique PHP-CGI sur Windows et comment vous protéger
Tags:

Plus d'actu

tuto linux planifier des tâches avec crontab

Boostez votre productivité sous Linux avec Crontab : guide complet et exemples pratiques

10 heures ago Julien Castex

Comment se protéger des attaques brute force sur vos équipements réseau

14 heures ago Julien Castex

Les 15 commandes indispensables pour gérer le réseau sous Linux.

3 jours ago Julien Castex

Vous avez peut-être manqué

T-Mobile opens Starlink messaging beta for everyone in the US

T-Mobile lance le service de messagerie Starlink par satellite pour tous en US

52 minutes ago Julien Castex
Looks Like 2 Resident Evil Classics Are Getting Native PS5 Ports

Resident Evil 5 et 6 bientôt disponibles en portage sur PS5 selon des listings récents

2 heures ago Alex Lopez
Take a Look at the World's Thinnest Foldable

Découvrez la finesse incroyable du OPPO Find N5

2 heures ago Julien Castex
This Galaxy feature could change your wallpaper using AI

Samsung Galaxy S24 FE : Mise à jour One UI 7 le 31 mars?

3 heures ago Julien Castex