Todos os dias novos tipos de ataques cibernéticos são criados por hackers, gerando muito trabalho para empresários e profissionais responsáveis pela segurança dos dados das empresas. E mesmo não sendo um golpe tão novo, o "Freejacking" se tornou popular entre os hackers para minerar criptomoedas.
De acordo com as novas descobertas da Unit 42, braço de pesquisa da Palo Alto Networks, o Automated Libra, grupo de ameaça de nuvem por trás da campanha de freejacking PurpleUrchin, criou mais de 130.000 contas em plataformas de cloud como Heroku e GitHub, para a mineração de cripto, envolvendo roubo ilegal de recursos dessas plataformas. A disponibilidade desses serviços relacionados à nuvem facilita ameaças, porque eles não precisam manter sua própria infraestrutura para implantar suas aplicações para os ataques.
"O Automated Libra é um grupo de freejacking da África do Sul que visa principalmente plataformas de nuvem que oferecem testes dos seus recursos oferecidos por tempo limitado ou até gratuitamente para realizar suas operações de criptomineração", disse Daniel Bortolazo, Gerente de Engenharia e Arquitetura da Palo Alto Networks no Brasil.
"Com essa descoberta, avaliamos que os atacantes por trás das operações do PurpleUrchin roubaram recursos de nuvem de várias plataformas que oferecem esse serviço por meio de uma tática que os pesquisadores da Unit 42 chamam de 'Play and Run'. Isso permite que cibercriminosos usem recursos da nuvem e se recusem a pagar por eles assim que a conta chega".
Mas como funciona o "Freejacking"?
Freejacking é um tipo de ataque cibernético que usa plataformas de nuvem que oferecem testes de seus recursos para realizar mineração de criptografia. De acordo com a pesquisa, há evidências de saldos não pagos em algumas dessas plataformas de serviços em nuvem de várias das contas criadas. Essa descoberta sugere que os atacantes criaram contas falsas com cartões de crédito roubados ou falsificados.
"Os hackers do PurpleUrchin realizaram essas operações Play and Run por meio da criação e uso de contas falsas, com cartões de crédito falsificados ou provavelmente roubados. Todas essas contas que descobrimos tinham um saldo pendente a ser pago. Embora um dos maiores saldos não pagos que encontramos tenha sido de US$190, suspeitamos que os valores em outras contas falsas e serviços em nuvem usados pelos hackers possam ter sido muito maiores devido à escala e amplitude da operação de mineração. Quando aplicamos esse valor às 130 mil contas criadas, temos uma visão do prejuízo".
Ao analisar os dados coletados, a Unit 42 rastreou os hackers até agosto de 2019, identificando atividades espalhadas por vários provedores de nuvem e trocas de criptografia.
Aproveitando as brechas do CAPTCHA
Os cibercriminosos por trás dessa campanha criaram de três a cinco contas no GitHub a cada minuto durante o pico de suas operações em novembro de 2022. O relatório aponta que o provável motivo pelo qual os eles usaram o GitHub é devido à diminuição da resistência na criação de contas, aproveitando uma fraqueza na verificação CAPTCHA na plataforma. Depois disso, foi possível estabelecer uma base de contas, começando as atividades de freejacking.
Para burlar o CAPTCHA como meio de ataque, os hackers usaram uma conta do Gmail para automatizar o processo de obtenção do código de inicialização. Depois que a senha é inserida, a automação gera um token de acesso pessoal (PAT) com permissões de fluxo de trabalho.
Heroku sendo usado pelos hackers
Uma das implantações mais recentes de ameaças envolveu a execução do Togglebox usando serviços AHP. O Togglebox é uma plataforma de hospedagem de aplicativos e VPS em nuvem de unidade de estado sólido (SSD) totalmente gerenciada. O Heroku é um dos serviços de nuvem preferidos usados pelos hackers em 2021, porque é um CAP que permite aos usuários criar e implantar aplicativos sem a necessidade de manter a infraestrutura de hospedagem em nuvem. As operações de PurpleUrchins fizeram uso desse recurso em todas as suas operações e depois de analisar os dados dos contêineres coletados, a Unit 42 identificou um total de 100.723 contas únicas criadas na plataforma.
"Os pesquisadores da Unit 42 identificaram mais de 40 carteiras criptográficas individuais e sete diferentes criptomoedas ou tokens sendo usados dentro da operação PurpleUrchin", disse Bortolazo. "Também identificamos que componentes específicos da infraestrutura que foram criadas não foram apenas projetados para executar a funcionalidade de mineração, mas também automatizaram o processo de negociação das criptomoedas coletadas em várias plataformas de negociação, como CRATEX ExchangeMarket, crex24 e Luno".
A prevenção é possível
O Prisma Cloud da Palo Alto Networks é capaz de monitorar o uso de recursos de nuvem, especificamente aqueles lançados em um ambiente conteinerizado. A capacidade do Prisma Cloud de verificar todos os contêineres em busca de vulnerabilidades e uso indevido antes da implantação, bem como monitorar o tempo de execução.