Pesquisadores da empresa de segurança Cyderes expuseram o caso de um universitário de Bangladesh que, há um ano e meio, tem vendido acesso a sites vulneráveis por valores irrisórios através do Telegram. O estudante, cuja identidade não foi revelada, alegou aos especialistas que seu objetivo é financiar seus estudos e que sonha em se tornar um defensor de segurança red team.
O esquema de preços varia significativamente:
- Sites Menores: Vendidos por US$ 3 (R$ 16) a US$ 4 (R$ 21).
- Páginas de Alto Valor: Sites de universidades globalmente conhecidas, instituições legais, organizações militares, tribunais e governos chegam a custar até US$ 200 (R$ 1.060).
A Exploração e a Rede Criminosa
Segundo a pesquisa da Cyderes, os clientes do hacker não têm apenas motivações financeiras. Muitos estão interessados em espionagem internacional, chegando a inserir nos sistemas a ferramenta de comando e controle (C2) sofisticada e furtiva chamada Beima.
O Telegram revelou ser um ponto central de uma vasta rede de agentes maliciosos que vendem e exploram sites mal configurados, com a negociação de códigos de invasão e roubo de informações. Todas as transações são realizadas em criptomoedas. A rede inclui desde estudantes em busca de uma “renda extra” até pesquisadores de segurança e indivíduos de outras áreas.
Técnicas de Invasão e Sites Afetados
O estudante de Bangladesh explora principalmente:
- Sites WordPress vulneráveis.
- Páginas mal gerenciadas via cPanel.
- Vulnerabilidades como senhas de administrador padrão ou a exposição de arquivos de configuração de ambiente (
.env), que contêm dados sensíveis como credenciais e chaves de API.
O universitário afirmou ter acesso a mais de 5.200 sites de organizações globais. A maioria está localizada na Ásia (72%), com a Indonésia sendo o país mais afetado, seguida pela Índia e outras nações do Sul e Sudeste Asiático. Há também vítimas no Brasil, Líbia e Estados Unidos. Quase metade das páginas comprometidas é do setor de educação, e um quarto pertence a órgãos governamentais.
Ameaça Invisível: O Malware Beima
Em 80 casos observados pela Cyderes, o malware Beima foi utilizado pelos compradores para roubar dados e se esconder no sistema. O Beima é um webshell altamente furtivo e sofisticado:
- Ele aceita apenas comandos encriptados, usando uma chave RSA embutida para decriptá-los.
- Comunica-se com o painel dos hackers via JSON e se disfarça em C2 usando chamadas de API web ordinárias.
- Para evitar a detecção, ao entregar um malware ao site, o Beima altera o horário de inserção do arquivo para 12 horas antes.
- O código é furtivo, sendo malicioso apenas em contextos de uso específicos, o que o torna indetectável por antivírus baseados em assinaturas. A Cyderes considera o Beima completamente indetectável por ferramentas modernas de segurança no momento.
