- DataDog relata que invasores sequestraram configurações do NGINX para redirecionar o tráfego por meio de infraestrutura maliciosa
- A campanha tem como alvo os setores governamental e educacional da Ásia, permitindo o roubo de tokens de sessão, cookies e credenciais
- Tráfego sequestrado usado para phishing, injeção de malware, fraude publicitária e outros ataques de proxy
Os cibercriminosos têm como alvo os servidores NGINX, redirecionando o tráfego legítimo através de sua infraestrutura maliciosa, alertaram os especialistas.
Os pesquisadores de segurança do DataDog Security Labs descobriram que os invasores estão focados principalmente em alvos asiáticos nos setores governamental e educacional.
Os servidores NGINX são sistemas de software que ficam na frente de sites ou aplicativos e lidam com o tráfego de entrada da web. Eles fornecem conteúdo, equilibram cargas e roteiam solicitações para os servidores back-end apropriados.
O que fazer com os dados roubados
No ataque, os agentes da ameaça não identificados modificam os arquivos de configuração do NGINX e injetam blocos maliciosos que capturam as solicitações recebidas. Eles então os reescrevem para incluir o URL original e encaminham o tráfego para domínios sob seu controle. De acordo com o DataDog, este é um ataque de cinco estágios que começa com uma injeção de configuração e termina com a exfiltração de dados.
Como nenhuma vulnerabilidade está sendo abusada aqui e as vítimas ainda acabam nas páginas que solicitaram, ninguém sabe disso. Ainda assim, os cibercriminosos estão conseguindo obter informações valiosas que podem ser usadas de diferentes maneiras.
Como os cabeçalhos são preservados, o invasor pode coletar endereços IP, agentes de usuário, referenciadores, tokens de sessão, cookies e, às vezes, credenciais ou chaves de API, caso apareçam nas solicitações. Em sites governamentais ou .edu, esses dados são especialmente valiosos.
Eles também podem manipular o conteúdo de forma seletiva. Como apenas determinados caminhos de URL são sequestrados, o invasor pode injetar anúncios, páginas de phishing, downloads de malware ou solicitações de login falsas somente quando quiser, visando com sucesso usuários, regiões ou fusos horários específicos.
Depois, existe a opção de monetização e revenda do tráfego. O tráfego limpo e real de usuários roteado pela infraestrutura do invasor pode ser vendido para fraude publicitária, SEO manipulação, fraude de cliques ou usado para impulsionar outros serviços maliciosos, o que é uma prática comum em ecossistemas proxy de grande escala.
Finalmente, servidores NGINX comprometidos podem ser usados para ataques proxy contra outros alvos, mascarando efetivamente suas origens.
Através BipandoComputador
O melhor antivírus para todos os orçamentos
Siga o TechRadar no Google Notícias e adicione-nos como fonte preferencial para receber notícias, análises e opiniões de especialistas em seus feeds. Certifique-se de clicar no botão Seguir!
E é claro que você também pode Siga o TechRadar no TikTok para notícias, análises, unboxings em formato de vídeo e receba atualizações regulares nossas em WhatsApp também.