- DataDog relata que invasores sequestram configurações NGINX para redirecionar o tráfego através de infraestrutura maliciosa
- A campanha tem como alvo os setores governamental e educacional na Ásia, permitindo o roubo de tokens de sessão, cookies e credenciais.
- O tráfego sequestrado é usado para phishing por proxy, injeção de malware, fraude publicitária e mais ataques
Os cibercriminosos têm como alvo os servidores NGINX, alertando que o tráfego legítimo está sendo redirecionado através de sua infraestrutura maliciosa.
Os pesquisadores de segurança do DataDog Security Labs descobriram que os invasores têm como alvo principal os alvos asiáticos nos setores governamental e educacional.
Os servidores NGINX são sistemas de software que ficam na frente de sites ou aplicativos e lidam com o tráfego de entrada da web. Eles fornecem conteúdo, equilibram cargas e roteiam solicitações para os servidores back-end apropriados.
O que fazer com dados roubados
No ataque, atores de ameaças não identificados modificam os arquivos de configuração do NGINX e injetam blocos maliciosos que hospedam as solicitações recebidas. Eles então os reescrevem para incluir o URL original e redirecionar o tráfego para domínios sob seu controle. De acordo com o DataDog, é um ataque em cinco estágios que começa com a injeção de configuração e termina com a exfiltração de dados.
Como nenhuma vulnerabilidade é explorada aqui e as vítimas ainda acabam nas páginas solicitadas, ninguém sabe disso. No entanto, os cibercriminosos estão obtendo informações valiosas que podem ser usadas de diversas maneiras.
Como os cabeçalhos são armazenados, um invasor pode coletar endereços IP, agentes de usuários, referências, tokens de sessão, cookies e, às vezes, credenciais ou chaves de API, caso apareçam nas solicitações. Em sites governamentais ou .edu, esses dados são especialmente valiosos.
Eles também podem manipular o conteúdo de forma seletiva. Como apenas determinados caminhos de URL são sequestrados, um invasor pode injetar anúncios, páginas de phishing, downloads de malware ou solicitações de login falsas à vontade, visando usuários, regiões ou fusos horários específicos.
Depois, há a oportunidade de rentabilizar e revender o tráfego. O tráfego de usuários da rede roteado através da infraestrutura do invasor pode ser vendido para fraude publicitária, manipulação de SEO, fraude de cliques ou usado para promover outros serviços maliciosos, uma prática comum em ecossistemas proxy de grande escala.
Finalmente, servidores NGINX comprometidos podem ser usados para ataques proxy contra outros alvos, ocultando efetivamente sua origem.
Através BipandoComputador
O melhor antivírus para cada orçamento
Siga o TechRadar no Google Notícias e adicione-nos como sua fonte padrão para receber notícias, opiniões e opiniões de nossos especialistas em feeds. Certifique-se de clicar no botão Continuar!
E é claro que você também pode Siga o TechRadar no TikTok para receber notícias, análises, unboxings de vídeos e receber atualizações regulares nossas WhatsApp também
