GhostRedirector: Nuova Campagna di Attacchi Ai Server Windows Manipola i Risultati di Ricerca di Google

Una nuova e sofisticata campagna di attacchi informatici, denominata GhostRedirector, sta prendendo di mira i server Windows a livello globale per manipolare i risultati di ricerca di Google. Identificata dai ricercatori di sicurezza, questa minaccia è particolarmente insidiosa poiché sfrutta una backdoor passiva in C++ e un modulo dannoso per Internet Information Services (IIS) per compromettere i sistemi e reindirizzare il traffico di ricerca.

L'obiettivo principale di GhostRedirector è l'inganno. Compromettendo i server, gli aggressori riescono a posizionare siti web fraudolenti o a contenuto malevolo in alto nei risultati di ricerca, una pratica nota come SEO (Search Engine Optimization) fraudolenta. Le vittime, cercando informazioni, vengono inconsapevolmente reindirizzate verso siti che possono ospitare malware, rubare credenziali o ingannarle in vari modi. La campagna non sembra avere un settore specifico di interesse, con vittime identificate nei settori dell'istruzione, della sanità, delle assicurazioni, dei trasporti, della tecnologia e del commercio al dettaglio.

I ricercatori di ESET, che hanno studiato l'attacco, ritengono che dietro a questa campagna ci sia un gruppo di cybercriminali legato alla Cina. L'arsenale di GhostRedirector include strumenti come la backdoor Rungan e il trojan per IIS Gamshen, che consentono agli aggressori di mantenere il controllo dei sistemi compromessi in modo persistente e di eludere i sistemi di sicurezza.

Per proteggersi da questa minaccia, le aziende e gli amministratori di sistema sono esortati a:

• Applicare immediatamente tutte le patch di sicurezza per le applicazioni web e i database per chiudere le vulnerabilità, in particolare quelle di SQL injection, che sono spesso il punto di accesso iniziale.

• Monitorare la creazione anomala di account amministrativi e le modifiche delle credenziali.

• Ispezionare i server IIS per la presenza di DLL dannose (miniscreen.dll) o altre anomalie.

• Implementare soluzioni di sicurezza avanzate come i Web Application Firewall (WAF) e assicurarsi che i sistemi siano configurati correttamente per la convalida degli input.