Unit 42 revela passos de criminosos e porque ação em cloud é favorável para eles
O Automated Libra, grupo de ameaça de nuvem por trás da campanha de freejacking PurpreUrchin, criou mais de 130 mil contas em plataformas de cloud como Heroku e GitHub, para mineração de cripto, envolvendo roubo ilegal de recursos dessas plataformas, de acordo com a Unit 42, braço de pesquisa da Palo Alto Networks. A disponibilidade desses serviços relacionados à nuvem facilita ameaças, porque eles não precisam manter sua própria infraestrutura para implantar suas aplicações para os ataques.
“O Automated Libra é um grupo de freejacking da África do Sul que visa principalmente plataformas de nuvem que oferecem testes dos seus recursos oferecidos por tempo limitado ou até gratuitamente para realizar suas operações de criptomineração”, disse Daniel Bortolazo, Gerente de Engenharia e Arquitetura da Palo Alto Networks no Brasil. “Com essa descoberta, avaliamos que os atacantes por trás das operações do PurpleUrchin roubaram recursos de nuvem de várias plataformas que oferecem esse serviço por meio de uma tática que os pesquisadores da Unit 42 chamam de ‘Play and Run’. Isso permite que cibercriminosos usem recursos da nuvem e se recusem a pagar por eles assim que a conta chega”.
Freejacking é um tipo de ataque cibernético que usa plataformas de nuvem que oferecem testes de seus recursos para realizar mineração de criptografia. De acordo com a pesquisa, há evidências de saldos não pagos em algumas dessas plataformas de serviços em nuvem de várias das contas criadas. Essa descoberta sugere que os atacantes criaram contas falsas com cartões de crédito roubados ou falsificados.
“Os hackers do PurpleUrchin realizaram essas operações Play and Run por meio da criação e uso de contas falsas, com cartões de crédito falsificados ou provavelmente roubados. Todas essas contas que descobrimos tinham um saldo pendente a ser pago. Embora um dos maiores saldos não pagos que encontramos tenha sido de US$ 190, suspeitamos que os valores em outras contas falsas e serviços em nuvem usados pelos hackers possam ter sido muito maiores devido à escala e amplitude da operação de mineração. Quando aplicamos esse valor às 130 mil contas criadas, temos uma visão do prejuízo”.
Os hackers criaram de três a cinco contas no GitHub a cada minuto durante o pico de suas operações em novembro de 2022. O relatório aponta que o provável motivo pelo qual os eles usaram o GitHub é devido à diminuição da resistência na criação de contas, aproveitando uma fraqueza na verificação CAPTCHA na plataforma. Depois disso, foi possível estabelecer uma base de contas, começando as atividades de freejacking.
Para burlar o CAPTCHA como meio de ataque, os hackers usaram uma conta do Gmail para automatizar o processo de obtenção do código de inicialização. Depois que a senha é inserida, a automação gera um token de acesso pessoal (PAT) com permissões de fluxo de trabalho.
“Os pesquisadores da Unit 42 identificaram mais de 40 carteiras criptográficas individuais e sete diferentes criptomoedas ou tokens sendo usados dentro da operação PurpleUrchin”, disse Bortolazo. “Também identificamos que componentes específicos da infraestrutura que foram criadas não foram apenas projetados para executar a funcionalidade de mineração, mas também automatizaram o processo de negociação das criptomoedas coletadas em várias plataformas de negociação, como CRATEX ExchangeMarket, crex24 e Luno”.
