Productos FTTH
Tutoriales y Manuales
Entradas Mensuales
-
▼
2026
(Total:
4055
)
-
▼
mayo
(Total:
752
)
-
Demandan a Team Group por 1,1 millones debido a pu...
-
Sound Blaster AE-X: Creative vuelve al mercado de ...
-
AMD responde a NVIDIA y Apple con Ryzen AI Halo: u...
-
Vulnerabilidad crítica de Cisco Secure Workload pe...
-
AMD Ryzen AI Halo: IA local en tu PC
-
TDF defiende ODF frente a Microsoft
-
Guía de Windows 11 Insider
-
Una wikipedia de tu vida para dejar un buen legado...
-
Google crea mundos reales con IA con Project Genie
-
Publicado exploit PoC de vulnerabilidad DirtyDecry...
-
OpenAI planea salir a bolsa con valoración récord
-
Starlink sube precios en España
-
Publicidad intrusiva en Android Auto via Google Maps
-
Nuevos juegos en GeForce Now
-
Stroustrup critica la lentitud de Python frente a C++
-
Flipper presenta el nuevo Flipper One Modular Linu...
-
DIGI llega al Reino Unido
-
Botnet Void usa contratos inteligentes de Ethereum...
-
IA ya supera el Test de Turing
-
Filtradas 46 mil contraseñas en texto plano tras b...
-
Microsoft alerta sobre dos vulnerabilidades de Def...
-
Vulnerabilidad en Claude Code expone credenciales ...
-
OpenAI resuelve problema matemático de hace 80 años
-
Nvidia ya no reporta ventas de gráficas como segme...
-
Malware BadIIS secuestra servidores IIS y redirige...
-
Filtrados repositorios internos de GitHub mediante...
-
Google reinventa la búsqueda con IA
-
Microsoft libera herramientas de código abierto pa...
-
Microsoft desactiva el servicio de firmas de malwa...
-
Vulnerabilidad crítica en Drupal Core
-
Vulnerabilidad de FreePBX permite acceso a portale...
-
Fallo de escalada de privilegios en Pardus Linux p...
-
Vulnerabilidad de ExifTool permite comprometer Mac...
-
Dos ejecutivos estadounidenses se declaran culpabl...
-
Demanda de 100 millones contra Pizza Hut por siste...
-
Nuevo ataque GhostTree bloquea EDR y evita análisi...
-
Revolut detecta usuarios de IPTV pirata mediante l...
-
Extension maliciosa de Nx Console para VS Code com...
-
AMD presenta los procesadores EPYC 8005 «Sorano» c...
-
Nueva vulnerabilidad de NGINX en JavaScript (njs) ...
-
Teleyeglasses: el origen de las gafas inteligentes
-
NASA sufre estafa de phishing china
-
Netflix dificulta la búsqueda de contenido
-
En la India usan páginas falsas de impuestos para ...
-
FBI: Las estafas con cajeros de criptomonedas cost...
-
Nueva IA crea canciones en segundos
-
Microsoft desmantela red de firmas de malware util...
-
La GPU Lisuan LX 7G100 Founders Edition: GPU china...
-
Operación Ramz incauta 53 servidores vinculados a ...
-
Los usuarios de PC apenas compran placas base, las...
-
Desmantelan red de fraude publicitario en Android ...
-
Nuevo RPG del Señor de los Anillos
-
Microsoft libera RAMPART y Clarity para reforzar l...
-
Vulnerabilidad PinTheft en Linux permite acceso ro...
-
Fedora elimina paquetes de Deepin por seguridad
-
Heroic Launcher mejora modo consola y personalización
-
Laurene Powell, viuda de Steve Jobs, ha gastado má...
-
Bots representan el 53% del tráfico web global
-
Filtración en Grafana provocada por falta de rotac...
-
IA reemplazará Python pero no toda la programación
-
GitHub confirma robo masivo de repositorios internos
-
Discord implementa el cifrado de extremo a extremo...
-
Intel Crescent Island: así será la tarjeta gráfica...
-
Google Pics revoluciona la edición de imágenes con IA
-
Meta reubica a 7.000 empleados en IA
-
Webworm utiliza Discord y la API de MS Graph para ...
-
The Gentlemen Ransomware ataca Windows, Linux, NAS...
-
TeamPCP compromete Microsoft Python Client Durable...
-
Vulnerabilidades críticas de PostgreSQL permiten e...
-
MSI GeForce RTX 5080 16G The Mandalorian and Grogu...
-
Usan herramienta de Windows MSHTA para distribuir ...
-
Google Gemini Omni para crear vídeos hiperrealistas
-
Vulnerabilidad crítica en Apache Flink permite eje...
-
IA colapsa el sistema de errores de Linux
-
Samsung lanza gafas inteligentes contra Meta
-
Nuevo malware VoidStealer roba contraseñas y cooki...
-
WD DC HC6100 UltraSMR, así son los primeros discos...
-
Firefox añade copia de seguridad local a Linux
-
Intel va a por el MacBook Neo con Project Firefly:...
-
Cirugía para parecerse a la IA
-
Apple acusada de ralentizar iPhones antiguos
-
Vulnerabilidad crítica de Marimo permite ejecución...
-
WWDC 2026: novedades de iOS 27 y Siri IA
-
Nova Lake-S: salto masivo en rendimiento
-
IA reemplazará empleos en 18 meses según Microsoft
-
Intel Nova Lake tiene muestras de ingeniería lista...
-
Malware de macOS instala falso actualizador de Goo...
-
Linux ya disponible en más PS5
-
Cadena de malware UAC-0184 usa bitsadmin y archivo...
-
Presunto robo de 468 mil registros del servicio po...
-
Google presenta Gemini Spark, su alternativa a Ope...
-
Google y Samsung presentan gafas con Gemini y Andr...
-
Japón pone a prueba el 6G y alcanza velocidades de...
-
Google Gemini 3.5 Flash para competir en IA y prog...
-
Google presenta Carrito Universal con IA
-
Google presenta Antigravity 2.0 para programar con IA
-
Demanda con IA termina en ridículo legal
-
Kimsuky ataca a reclutadores, usuarios de cripto y...
-
Comprometen paquetes de @antv en ataque de npm Min...
-
La principal agencia de ciberdefensa de EE. UU. ex...
-
-
▼
mayo
(Total:
752
)
-
►
2025
(Total:
2103
)
- ► septiembre (Total: 148 )
-
►
2024
(Total:
1110
)
- ► septiembre (Total: 50 )
-
►
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
►
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Síguenos en:
Entradas populares
-
Un exploit zero-day llamado YellowKey permite abrir unidades con BitLocker usando archivos en un USBEl investigador Chaotic Eclipse ha revelado dos vulnerabilidades críticas: YellowKey y GreenPlasma. YellowKey permite acceder a discos prote... -
Un ataque de cadena de suministro a gran escala ha alertado a los desarrolladores de software en todo el mundo, después que comprometieran ... -
Se ha revelada una vulnerabilidad crítica en el kernel de Linux, identificada como CVE-2026-46333 y apodada “ssh-keysign-pwn” . Este fallo ...
Malware BadIIS secuestra servidores IIS y redirige usuarios a sitios ilícitos
Un peligroso malware conocido como BadIIS ha estado atacando activamente servidores web de Internet Information Services (IIS), secuestrándolos silenciosamente y redirigiendo a visitantes desprevenidos a sitios de apuestas ilegales, plataformas de contenido para adultos y otros destinos ilícitos.
Los ataques han persistido durante años en la región de Asia-Pacífico y más allá, poniendo a miles de sitios web legítimos y a sus usuarios en grave riesgo.
BadIIS funciona implantando un módulo malicioso dentro del software del servidor IIS que se ejecuta silenciosamente en segundo plano. Una vez instalado, intercepta el tráfico web que fluye a través del servidor comprometido y redirige a los visitantes sin que estos se den cuenta.
El servidor sigue pareciendo normal desde el exterior, lo que hace que la detección sea mucho más difícil para los administradores y los equipos de seguridad.
Investigadores de Cisco Talos identificaron una variante específica de BadIIS distinguible por cadenas "demo.pdb" incrustadas, lo que reveló que el malware funciona como una herramienta comercial probablemente vendida o compartida entre múltiples grupos de cibercrimen de habla china.
Según el informe compartido, Cisco Talos evaluó con moderada confianza que esta variante opera bajo un modelo de Malware-as-a-Service (MaaS), permitiendo la monetización continua por parte del desarrollador.
La investigación reveló que el malware ha estado en desarrollo activo desde al menos septiembre de 2021, y la muestra compilada más reciente data del 6 de enero de 2026.
Actualizaciones iterativas rápidas, ramificaciones de funciones y tácticas de evasión reactivas dirigidas a proveedores de seguridad específicos como Norton confirmaron que la herramienta sigue bajo mantenimiento activo.
Talos también observó ataques en la región de Asia-Pacífico, Sudáfrica, Europa y América del Norte, demostrando hasta dónde se ha extendido la campaña.
El atacante detrás de la campaña opera bajo el alias "lwxat", un nombre incrustado en toda la herramienta de construcción, los mecanismos de autenticación e incluso en las cadenas de agente de usuario HTTP en vivo durante las comunicaciones activas del malware.
Los artefactos de la ruta PDB apuntaron además a una compilación personalizada adaptada para un cliente específico, indicando que esta variante de BadIIS fue construida a medida para ciertos clientes y reforzando el modelo de negocio MaaS.
El malware BadIIS secuestra servidores IIS
La funcionalidad principal de BadIIS se centra en una herramienta de construcción dedicada que los actores de amenazas utilizan para generar archivos de configuración personalizados, redireccionadores de JavaScript y scripts de enlaces inversos PHP, para luego inyectar esos parámetros directamente en los binarios de BadIIS.
El constructor ofrece cuatro capacidades principales: redirección de tráfico a sitios ilícitos, proxy inverso para la manipulación de rastreadores de motores de búsqueda, secuestro total del contenido del sitio web comprometido e inyección de enlaces inversos internos y externos para el fraude de SEO malicioso.
Versión de secuestro de sitio personalizada que redirige a los usuarios según el idioma del navegador (Fuente – Cisco Talos)
La redirección de tráfico se gestiona inyectando redireccionadores basados en JavaScript en la sesión del navegador de la víctima, enviando forzosamente a los usuarios legítimos a infraestructuras de spam, como plataformas de apuestas ilegales y sitios web de contenido para adultos.
Para los rastreadores de motores de búsqueda, BadIIS actúa como un proxy inverso, obteniendo contenido ilícito del backend de comando y control del atacante y sirviéndolo como si perteneciera al sitio web legítimo.
.webp)
La función de secuestro de contenido incluso permite a los actores de amenazas configurar qué porcentaje del tráfico se ve afectado y extraer dinámicamente metadatos de título, descripción y palabras clave maliciosas desde una URL remota.
Un ecosistema MaaS construido para escalar
Más allá del binario central de BadIIS, Cisco Talos descubrió una suite completa de herramientas auxiliares desarrolladas por el mismo autor, incluyendo instaladores basados en servicios, componentes dropper y mecanismos de persistencia.
Estas herramientas aseguran que BadIIS se reactive automáticamente cada vez que el servidor IIS comprometido se reinicie, haciendo que la limpieza manual sea mucho más difícil.
El malware utiliza codificación Base64 personalizada y ofuscación XOR de un solo byte para ocultar las direcciones del servidor de comando y control a los escáneres de seguridad.
Flujo de trabajo de instalación (Fuente – Cisco Talos)
Una de las herramientas de persistencia suplanta servicios legítimos de Windows, como FaxService o AudiosService, para evitar levantar sospechas durante las revisiones de seguridad rutinarias.
Otra herramienta actúa como un dropper de inicialización de módulos, empaquetando las cargas útiles de DLL maliciosas dentro de un ejecutable independiente etiquetado como "IIS32" e "IIS64" dentro de sus recursos.
Juntos, estos componentes forman un ecosistema modular y escalable diseñado para el acceso sostenido y los ingresos continuos.
Se recomienda encarecidamente a los administradores de servidores auditar regularmente los módulos de IIS instalados y revisar el archivo applicationHost.config del servidor IIS en busca de entradas desconocidas o no autorizadas.
Monitorear las conexiones salientes inesperadas desde los servidores web y mantener actualizados los productos de seguridad para detectar firmas específicas de BadIIS también te ayudará a reducir la exposición a esta amenaza.
Indicadores de Compromiso (IoCs):-
| Tipo | Indicador | Descripción |
|---|---|---|
| Firma de Malware | Win.Malware.BadIIS-10069981-0 | Firma de ClamAV que detecta la amenaza BadIIS |
| Firma de Malware | Win.Malware.BadIIS-10069988-0 | Firma de ClamAV que detecta la amenaza BadIIS |
| Firma de Malware | Win.Malware.BadIIS-10069984-0 | Firma de ClamAV que detecta la amenaza BadIIS |
| Firma de Malware | Win.Malware.BadIIS-10069985-0 | Firma de ClamAV que detecta la amenaza BadIIS |
| Regla SNORT (SID) | 1:66400, 1:66439, 1:66438 | Reglas Snort2 que detectan y bloquean el tráfico de BadIIS |
| Regla SNORT (SID) | 1:66400, 1:301498-1 | Reglas Snort3 que detectan y bloquean el tráfico de BadIIS |
| Cadena PDB | demo.pdb | Cadena incrustada que identifica la variante MaaS de BadIIS |
| Cadena PDB / Alias Actor | lwxat | Alias del actor de amenazas incrustado en el constructor, config y cadenas de agente de usuario HTTP |
| Nombre de Archivo | IIS32 / IIS64 | Cargas útiles DLL de BadIIS nombradas dentro del recurso del dropper |
| Nombre de Archivo | config.txt | Archivo de configuración leído por el instalador del servicio BadIIS |
| Nombre de Archivo | module.txt | Archivo de almacenamiento temporal utilizado para guardar la lista de módulos de IIS |
| Nombre de Servicio Windows | Winlogin | Nombre de servicio de Windows falso utilizado para la persistencia por la herramienta de instalación |
| Cadena User-Agent | lwxatisme | Cadena de agente de usuario HTTP personalizada utilizada durante las comunicaciones C2 |
| Artefacto de Constructor | Patrón de ruta de carpeta “demo.pdb” | Rutas de construcción C:\Users\Administrator\Desktop\ que revelan el entorno del desarrollador |
| Nombre de Carpeta | dll-no904 | Directorio de construcción de resolución de problemas identificado en las rutas PDB |
| Etiqueta de Configuración | lw\xat (alias xshen) | Cadena de ruta PDB que hace referencia a una compilación personalizada para el cliente “xshen” |
Nota: Las direcciones IP y los dominios han sido neutralizados intencionadamente (por ejemplo, [.]) para evitar la resolución accidental o la creación de hipervínculos. Reactívalos solo dentro de plataformas de inteligencia de amenazas controladas como MISP, VirusTotal o tu SIEM.
Fuentes:
https://cybersecuritynews.com/badiis-malware-turns-hijacks-iis-servers/
Etiquetas:
Entrada más reciente
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.