Um levantamento da Unit 42, braço de pesquisa da Palo Alto Networks descobriu que grupos de criminosos estão usando contas gratuitas em serviços de armazenamento na nuvem – como o GitHub – para roubar capacidade de processamento e minerar criptomoedas – um processo conhecido como freejacking.
A empresa revelou uma campanha de freejacking responsável pela criação de mais de 130.000 contas em várias plataformas de armazenamento de dados na nuvem, incluindo Heroku, Togglebox e GitHub, para realizar mineração de criptomoedas e roubar recursos.
- Não entendeu algum termo do universo Web3? Confira no nosso Glossário!
- Quer se manter atualizado em tudo o que é relevante no mundo cripto? O BeInCrypto tem uma comunidade no Telegram em que você pode ler em primeira mão as notícias relevantes e conversar com outros entusiastas em criptomoedas. Confira!
- Você também pode se juntar a nossas comunidades no Twitter (X), Instagram e Facebook.
O grupo responsável pelos ataques é o Automated Libra, que batizou a campanha de PurpleUrchin. O freejacking é um processo que usa recursos gratuitos na nuvem para minerar criptomoedas sem autorização.
O GitHub ganhou destaque no levantamento. Os hackers automatizaram a criação de contas na plataforma usando técnicas simples de análise de imagens, que permite contornar a verificação de imagens CAPTCHA, que pergunta se você não é um robô e pede para identificar figuras na tela.
O estudo identificou também que os criminosos criavam entre 3 a 5 contas do GitHub por minuto durante o pico de suas operações, em novembro de 2022.
Os recursos eram roubados de várias plataformas através do “Play & Run”, nome que os pesquisadores envolvidos deram para os invasores que usam recursos do provedor de nuvem sem pagar nada por eles, dando prejuízo às empresas.
“O Automated Libra é um grupo de freejacking da África do Sul que visa principalmente plataformas de nuvem que oferecem testes dos seus recursos oferecidos por tempo limitado ou até gratuitamente para realizar suas operações de criptomineração”, explica o gerente de Engenharia e Arquitetura da Palo Alto Networks no Brasil, Daniel Bortolazo.
“Com essa descoberta, avaliamos que os atacantes por trás das operações do PurpleUrchin roubaram recursos de nuvem de várias plataformas que oferecem esse serviço por meio de uma tática que os pesquisadores da Unit 42 chamam de ‘Play and Run’. Isso permite que cibercriminosos usem recursos da nuvem e se recusem a pagar por eles assim que a conta chega”.
Os dados mostram que ainda existem débitos deixados pelo hackers em alguns dos servidores invadidos, sugerindo que os bandidos criaram as contas falsas com cartões de crédito roubados ou falsificados.
“Todas essas contas que descobrimos tinham um saldo pendente a ser pago. Embora um dos maiores saldos não pagos que encontramos tenha sido de US$190, suspeitamos que os valores em outras contas falsas e serviços em nuvem usados pelos hackers possam ter sido muito maiores devido à escala e amplitude da operação de mineração. Quando aplicamos esse valor às 130 mil contas criadas, temos uma visão do prejuízo”, diz o executivo.
Grupo usou brechas para minerar criptomoedas
De acordo com o levantamento, os hackers preferiram o GitHub por ser mais fácil violar a verificação CAPTCHA na plataforma.
Uma das implantações mais recentes de ameaças envolveu a execução do Togglebox, usando serviços AHP. O Togglebox é uma plataforma de hospedagem de aplicativos e VPS em nuvem de unidade de estado sólido (SSD) totalmente gerenciada.
O Heroku é um dos serviços de nuvem preferidos usados pelos hackers em 2021, por permitir aos usuários criar e implantar aplicativos sem a necessidade de manter a infraestrutura de hospedagem em nuvem. Foram identificadas 100.723 contas únicas criadas na plataforma de maneira ilegal.
“Os pesquisadores da Unit 42 identificaram mais de 40 carteiras cripto individuais e sete diferentes criptomoedas ou tokens sendo usados dentro da operação PurpleUrchin”, disse Bortolazo.
“Também identificamos que componentes específicos da infraestrutura que foram criadas não foram apenas projetados para executar a funcionalidade de mineração, mas também automatizaram o processo de negociação das criptomoedas coletadas em várias plataformas de negociação, como CRATEX ExchangeMarket, crex24 e Luno”.
Trusted
Isenção de responsabilidade
Todas as informações contidas em nosso site são publicadas de boa fé e apenas para fins de informação geral. Qualquer ação que o leitor tome com base nas informações contidas em nosso site é por sua própria conta e risco.
