De acordo com a Palo Alto Networks (PANW: Nasdaq), hackers criaram 130 mil contas em plataformas como GitHub para minerar criptomoedas, consumindo os recursos das empresas vítimas.
As novas descobertas foram reveladas pela Unit 42, braço de pesquisa da Palo Alto Networks.
A empresa de segurança identificou que o Automated Libra, grupo de ameaça de nuvem por trás da campanha de freejacking PurpleUrchin, criou mais de 130.000 contas em plataformas de cloud como Heroku e GitHub, para a mineração de criptomoedas envolvendo roubo ilegal de recursos dessas plataformas.
A disponibilidade desses serviços relacionados à nuvem facilita ameaças, porque eles não precisam manter sua própria infraestrutura para implantar suas aplicações para os ataques.
Grupo de hackers da África do Sul envolvido em criar contas no GitHub para minerar criptomoedas
Em nota ao Livecoins, Daniel Bortolazo, Gerente de Engenharia e Arquitetura da Palo Alto Networks no Brasil, declarou que o grupo por trás dos ataques opera do continente africano.
“O Automated Libra é um grupo de freejacking da África do Sul que visa principalmente plataformas de nuvem que oferecem testes dos seus recursos oferecidos por tempo limitado ou até gratuitamente para realizar suas operações de criptomineração. Com essa descoberta, avaliamos que os atacantes por trás das operações do PurpleUrchin roubaram recursos de nuvem de várias plataformas que oferecem esse serviço por meio de uma tática que os pesquisadores da Unit 42 chamam de ‘Play and Run’. Isso permite que cibercriminosos usem recursos da nuvem e se recusem a pagar por eles assim que a conta chega.”
Freejacking é um tipo de ataque cibernético que usa plataformas de nuvem que oferecem testes de seus recursos para realizar mineração de criptomoedas.
De acordo com a pesquisa, há evidências de saldos não pagos em algumas dessas plataformas de serviços em nuvem de várias das contas criadas. Essa descoberta sugere que os hackers criaram contas falsas com cartões de crédito roubados ou falsificados.
Um relatório de outubro de 2022, vale lembrar, detectou a fraude contra o GitHub, mas apenas em 30 casos.
Contudo, o caso pode envolver a criação de mais de 130 mil contas falsas para mineração de criptomoedas, deixando um grande prejuízo.
“Os hackers do PurpleUrchin realizaram essas operações Play and Run por meio da criação e uso de contas falsas, com cartões de crédito falsificados ou provavelmente roubados. Todas essas contas que descobrimos tinham um saldo pendente a ser pago. Embora um dos maiores saldos não pagos que encontramos tenha sido de US$190, suspeitamos que os valores em outras contas falsas e serviços em nuvem usados pelos hackers possam ter sido muito maiores devido à escala e amplitude da operação de mineração. Quando aplicamos esse valor às 130 mil contas criadas, temos uma visão do prejuízo.”
Fraude em larga escala
A fraude contra plataformas se tornou conhecida desde 2019, mas se intensificou em 2022. Os cibercriminosos por trás dessa campanha criaram de três a cinco contas no GitHub a cada minuto durante o pico de suas operações em novembro de 2022.
O relatório aponta que o provável motivo pelo qual os eles usaram o GitHub é devido à diminuição da resistência na criação de contas, aproveitando uma fraqueza na verificação CAPTCHA na plataforma.
Depois disso, foi possível estabelecer uma base de contas, começando as atividades de freejacking.
Para burlar o CAPTCHA como meio de ataque, os hackers usaram uma conta do Gmail para automatizar o processo de obtenção do código de inicialização. Depois que a senha é inserida, a automação gera um token de acesso pessoal (PAT) com permissões de fluxo de trabalho.
Hackers automatizaram negociações em corretoras de criptomoedas
Em nota ao Livecoins, Bortolazo declarou que os pesquisadores da Unit 42 encontraram algumas carteiras vinculadas aos golpes.
Além disso, ficou claro que os hackers conseguem minerar as criptomoedas diretamente para corretoras, onde automatizam a negociação. Entre as corretoras utilizadas pelos responsáveis pela fraude estão crex24, Luno, entre outras mais.
“Os pesquisadores da Unit 42 identificaram mais de 40 carteiras criptográficas individuais e sete diferentes criptomoedas ou tokens sendo usados dentro da operação PurpleUrchin. Também identificamos que componentes específicos da infraestrutura que foram criadas não foram apenas projetados para executar a funcionalidade de mineração, mas também automatizaram o processo de negociação das criptomoedas coletadas em várias plataformas de negociação, como CRATEX ExchangeMarket, crex24 e Luno.”
A empresa de cibersegurança alerta que as empresas devem prevenir os golpes no futuro.