Campanha compromete servidores NGINX para sequestrar tráfego web de utilizadores

Investigadores do DataDog Security Labs identificaram uma campanha ativa em que atacantes comprometem servidores NGINX com o objetivo de sequestrar tráfego de utilizadores e encaminhá-lo de forma transparente para infraestruturas sob o seu controlo. O ataque afeta sobretudo sites associados a domínios de topo asiáticos — como .in, .id, .pe, .bd e .th — bem como portais governamentais e educativos com extensões .gov e .edu.

O NGINX é amplamente utilizado como software de gestão de tráfego web, desempenhando funções de servidor web, load balancer, cache e reverse proxy. Nesta campanha, os atacantes não exploram falhas no código do NGINX. Em vez disso, alteram diretamente os ficheiros de configuração existentes, inserindo blocos maliciosos do tipo location que capturam pedidos HTTP em caminhos específicos escolhidos pelo atacante.

Esses pedidos são reescritos para incluir o URL original completo e depois encaminhados, através da diretiva legítima proxy_pass, para domínios controlados pelos atacantes. Esta diretiva é normalmente usada para equilibrar carga e redundância, o que faz com que o abuso passe despercebido aos mecanismos de segurança tradicionais. Para reforçar a aparência de legitimidade, os atacantes preservam cabeçalhos como Host, X-Real-IP, User-Agent e Referer.

A campanha recorre a um toolkit automatizado e estruturado em múltiplas fases. O processo começa com um script inicial que descarrega e executa os restantes componentes, incluindo mecanismos alternativos para comunicar via HTTP bruto caso ferramentas comuns como curl ou wget não estejam disponíveis. Seguem-se scripts especializados em ambientes geridos pelo painel de alojamento Baota e em localizações comuns de configuração do NGINX, como sites-enabled e conf.d. Estes scripts analisam cuidadosamente os ficheiros para evitar corrupção da configuração, validam as alterações com o comando nginx -t e recarregam o serviço para minimizar interrupções.

Na fase final, os atacantes fazem um inventário dos domínios comprometidos, dos modelos de injeção utilizados e dos destinos de proxy, enviando essa informação para um servidor de comando e controlo externo.

Segundo os investigadores, este tipo de ataque é particularmente difícil de detetar porque o tráfego continua, na maioria dos casos, a chegar ao destino esperado, ainda que passe previamente por sistemas controlados pelos atacantes. Como as alterações residem em ficheiros de configuração raramente auditados e não envolvem exploits clássicos, a atividade pode manter-se ativa durante longos períodos sem levantar suspeitas.