Pesquisadores da empresa de segurança Cyderes estudaram o caso de um universitário de Bangladesh que, já há um ano e meio, vende acesso a sites vulneráveis no Telegram por mixaria. Os especialistas conversaram com o sujeito, que não teve a identidade divulgada, e descobriram segredos do esquema criminoso.
- Ciberataques e espionagem internacional são impulsionados por IA generativa
- O que é Engenharia Social? Aprenda a identificar e se proteger de golpes
Segundo o estudante, seu sonho é ser um defensor de segurança red team, e ele apenas venderia o acesso aos sites para custear seus estudos. Sites menores são oferecidos por US$ 3 (R$ 16, na cotação atual) e US$ 4 (R$ 21), enquanto com páginas de universidades globalmente conhecidas, instituições legais, organizações militares, tribunais e governos, o preço chega a US$ 200 (R$ 1.060).
Venda e exploração de sites
Segundo a pesquisa da Cyderes, muitos dos clientes do hacker sem dúvida possuem motivações financeiras, mas outros estão interessados em espionagem internacional: alguns deles inserem a ferramenta de comando e controle (C2) sofisticada e furtiva chamada Beima.
–
Entre no Canal do WhatsApp do Canaltech e fique por dentro das últimas notícias sobre tecnologia, lançamentos, dicas e tutoriais incríveis.
–
A partir do Telegram, foi descoberta uma grande rede de agentes maliciosos vendendo e explorando sites mal configurados, alguns deles até mesmo vendendo os códigos necessários para invadir e roubar informações dos sites. Tudo é vendido por criptomoedas. Enquanto vários são estudantes, há também pesquisadores de segurança e alguns até de outras áreas fazendo uma “renda extra”.
O estudante de Bangladesh, em particular, explora sites em WordPress vulneráveis, bem como páginas mal gerenciadas através do cPanel. Alguns casos envolvem pessoas deixando a senha de administrador padrão e outros expõem arquivos de configurações de ambiente (.env), contendo dados sensíveis como credenciais e chaves de API.
O universitário vende mais de 5.200 sites de organizações de todo o mundo, mas principalmente da Ásia, que representa 72% do total. O país mais afetado é a Indonésia, mas há também Índia e outras nações do sul e sudeste asiático, bem como Brasil, Líbia e Estados Unidos. Quase metade das páginas é relacionada à educação, e ¼ a governos.
Os compradores também tendem a ser da Ásia, primeiramente chineses, indonésios e malaios. Em 80 casos observados pela Cyderes, foi usado o malware Beima, que rouba dados e se esconde no sistema. O programa só aceita comandos encriptados, os desencriptando com uma chave RSA hardcoded.
O webshell se comunica com o painel dos hackers usando JSON e se esconde em C2 com chamadas APIs web ordinárias. Quando o atacante quer entregar um malware ao site, o Beima sobe o arquivo e muda seu horário de inserção para 12 horas antes, evitando programas que detectam arquivos novos ou modificados recentemente.
O código em questão também é furtivo, só sendo malicioso em contextos específicos de uso. Com isso, os antivírus, que usam bases de dados com assinaturas de vírus, não conseguem detectá-lo: até o momento, a Cyderes considera o Beima completamente indetectável por ferramentas modernas de segurança.
Veja também:
- Hackers norte-coreanos roubaram segredos de drones com engenharia social
- Trojan bancário no WhatsApp e malware para Android ameaçam usuários brasileiros
- Falso ChatGPT Atlas é usado para roubar senhas de usuários em navegadores
VÍDEO | 7 ataques hacker que entraram para a história [Top Tech]
Leia a matéria no Canaltech.
