Whitebird
Moderator
Dabei seit: 31.03.2009
Beiträge: 4.222
Herkunft: Aus dem Nichts, Nordsee/Ecke Ossiland!!!
 |
|
 Student finanziert sein Studium durch Verkauf von Backdoors |
     |
Student finanziert sein Studium durch Verkauf von Backdoors
Ein Student aus Bangladesch verkauft auf Telegram Zugänge zu kompromittierten Servern. Er behauptet, das Geld für seine Bildung zu brauchen.
8. Dezember 2025 um 13:30 Uhr / Marc Stöckel
Die Motive zur Ausführung cyberkrimineller Aktivitäten sind zwar vielfältig, haben aber häufig einen finanziellen Hintergrund. Sicherheitsforschern von Cyderes kam diesbezüglich nun ein recht sonderbarer Fall unter. Laut Bericht konnten sich die Forscher über Telegram mit einem Akteur aus Bangladesch unterhalten, der angab, Zugänge zu PHP-Backdoors zu verkaufen, um damit sein Studium zu finanzieren.
Bei der besagten Backdoor soll es sich um eine PHP-basierte Webshell namens Beima PHP handeln. Die meisten Sicherheitstools erkannten diese wohl bis zuletzt nicht. Die Forscher geben an, einige hochgeladene Proben auf Virustotal entdeckt zu haben. Diese sollen allerdings bis November 2025 nicht als bösartig erkannt worden sein.
Den Angaben zufolge stehen die Backdoors mit einem aktiven Botnetz in Verbindung. Letzteres besteht aus Servern, die etwa durch Fehlkonfigurationen oder Sicherheitslücken in Wordpress- oder cPanel-Installationen kompromittiert wurden. Anschließend wird der Zugriff auf diese Systeme verkauft – laut Cyderes primär an Interessenten aus Indonesien, Malaysia und China.
Bis zu 200 US-Dollar pro System
Die Sicherheitsforscher unterhielten sich mit einem der Verkäufer. Screenshots aus dem Chatverlauf sind im Blogbeitrag von Cyderes zu finden. Darin bestätigte der in Bangladesch ansässige Akteur, er verkaufe die Zugänge für 3 bis 4 US-Dollar pro Website. Er wisse auch, dass dies nicht gut sei, jedoch sei er aktuell darauf angewiesen, da er das Geld und die gesammelten Erfahrungen für sein Studium benötige.
Nach Angaben der Forscher wird der Zugriff zu besonders brisanten Webportalen mit .gov- oder .edu-Domains teilweise sogar für bis zu 200 US-Dollar verkauft. Für deutsche Verhältnisse erscheint die Summe zwar überschaubar, dem Bericht zufolge entspricht dies in Bangladesch allerdings in etwa einem gängigen Monatsgehalt für Berufstätige und ist damit insbesondere für dort lebende Studenten sehr lukrativ.
Auch in Europa hunderte Systeme betroffen
Bezahlt wird der Backdoor-Zugriff den Angaben zufolge jeweils in Bitcoin, während der Handel über Telegram abgewickelt wird. Käufer erhalten nach Bezahlung einen umfassenden Zugriff auf das Zielsystem und können verschlüsselt eigene Befehle übertragen und zur Ausführung bringen, um etwa Daten abzugreifen oder Attacken auf weitere Systeme zu starten.
Derzeit stehen wohl mehr als 5.200 kompromittierte Systeme zum Verkauf. Bei 76 Prozent davon soll es sich um Websites von Behörden und Bildungseinrichtungen handeln. Mit einem Anteil von 72 Prozent sind die meisten infiltrierten Server in Asien verortet. Europa folgt mit 11 Prozent auf dem zweiten Platz.
Technische Details zur Funktionsweise von Beima PHP sowie nützliche Informationen und Handlungsempfehlungen zur Erkennung und Beseitigung der Backdoor sind im Bericht der Cyderes-Forscher zu finden.
quelle: golem.de
__________________
Der frühe Vogel trinkt 'n Korn??? 
 Grüße von Whitebird
|
|
Gestern, 15:13 |
|
|
