365/68 (IT) ประจำวันพฤหัสบดีที่ 25 กันยายน 2568
นักวิจัยด้านความปลอดภัยเตือนแคมเปญ Operation Rewrite ใช้มัลแวร์ BadIIS ในการทำ SEO poisoning มุ่งเป้าเอเชียตะวันออกและเอเชียตะวันออกเฉียงใต้ โดยเฉพาะเวียดนาม จุดประสงค์คือบิดเบือนผลการจัดอันดับค้นหา หลอกให้ผู้ใช้เข้าเว็บไซต์ที่ถูกแทรกแซง และเปลี่ยนเส้นทางไปยังเว็บไซต์สแปมหรือเนื้อหาที่ไม่พึงประสงค์ เช่น เว็บพนันหรือสื่อลามก
BadIIS เป็นโมดูลอันตรายของ Internet Information Services (IIS) ที่สามารถดักจับและแก้ไขทราฟฟิก HTTP โดยตรวจสอบ User-Agent ของ search engine crawler โดยนำเนื้อหาจากเซิร์ฟเวอร์ควบคุม (C2) มาแทรกลงหน้าเว็บไซต์ ส่งผลให้ระบบค้นหาเข้าใจว่าเว็บไซต์ดังกล่าวมีความเกี่ยวข้องกับคีย์เวิร์ดเป้าหมายและจัดอันดับสูงขึ้น เมื่อผู้ใช้ค้นหาและคลิกลิงก์จะถูกเปลี่ยนเส้นทางไปยังเว็บไซต์ที่ผู้โจมตีกำหนด นอกจากนี้ยังพบว่าผู้โจมตีใช้สิทธิ์ที่ได้มาเพื่อติดตั้ง web shell, สร้างบัญชีผู้ใช้ใหม่ ขโมยซอร์สโค้ด และฝัง BadIIS implant เพิ่มเติมเพื่อการเข้าถึง
นักวิจัยระบุว่าผู้โจมตีใช้เครื่องมือหลายรูปแบบ ทั้ง ASP.NET lightweight page handler, .NET IIS module ที่แทรกลิงก์สแปมในทุก request และสคริปต์ PHP แบบ all-in-one รวมทั้งการรีไดเรกต์และ SEO poisoning เข้าด้วยกัน เครื่องมือทั้งหมดถูกออกแบบมาเพื่อควบคุมการไหลของทราฟฟิกและบิดเบือนผลการค้นหา การเปิดเผยครั้งนี้เกิดขึ้นหลัง ESET รายงานกลุ่มGhostRedirector ที่ใช้โมดูล IIS รหัส Gamshen โจมตีเซิร์ฟเวอร์กว่า 65 เครื่องในบราซิล ไทย และเวียดนาม เพื่อทำ SEO fraud ลักษณะเดียวกัน
แหล่งข่าว https://thehackernews.com/2025/09/badiis-malware-spreads-via-seo.html
