Los actores de amenazas sudafricanos conocidos como “Automated Libra” han estado mejorando sus técnicas para explotar los recursos de la plataforma en la nube para la minería de criptomonedas.
Según la Unidad 42 de Palo Alto Networks los actores de amenazas han utilizado un nuevo sistema de resolución de Captcha junto con un uso más agresivo de los recursos de la CPU para la minería y la combinación de “freejacking” con la técnica “Play and Run”.
Desde un punto de vista técnico, el freejacking generalmente se entiende como el proceso de utilizar recursos de la nube gratuitos (o de tiempo limitado) para realizar operaciones de criptominería.
“Si bien el secuestro gratuito puede en apariencia parecer un delito sin víctimas estos patrones de abuso podrían tener graves consecuencias posteriores si comienzan a apuntar a empresas pagas que dependen de la infraestructura de la nube para las operaciones, el almacenamiento de datos y más”, explicó el director general de Dig Security Dan Benjamín.
En cuanto a Automated Libra, el grupo fue expuesto por primera vez por los analistas de Sysdig en octubre de 2022 , quienes llamaron al grupo malicioso de actividad “PurpleUrchin” y asociaron el grupo con operaciones de freejacking.
Ahora los recursos de Palo Alto Networks han dicho que recopilaron más de 250 GB de datos de contenedores de la operación PurpleUrchin y descubrieron que los hackers detrás de ella estaban creando de tres a cinco cuentas de GitHub cada minuto durante el pico de sus operaciones en noviembre de 2022.
“También descubrimos que algunos de los casos de creación de cuentas automatizadas pasaron por alto las imágenes de Captcha utilizando técnicas simples de análisis de imágenes”, dice el aviso de la Unidad 42.
“También identificamos la creación de más de 130 000 cuentas de usuario creadas en varios servicios de plataforma en la nube como Heroku, Togglebox y “.
Además, el equipo encontró evidencia de saldos impagos en algunas de estas plataformas de servicios en la nube de varias cuentas creadas, lo que sugiere que los actores crearon cuentas falsas con tarjetas de crédito robadas o falsificadas.
“Con este hallazgo, evaluamos que los actores detrás de las operaciones de PurpleUrchin robaron recursos en la nube de varias plataformas de servicios en la nube a través de una táctica que los investigadores de la Unidad 42 llaman ‘Juega y corre'”, escribió la Unidad 42.
“Esta táctica involucra a actores maliciosos que usan recursos de la nube y se niegan a pagar por esos recursos una vez que llega la factura”.
Según Davis McCarthy, investigador principal de seguridad de Valtix , entre eludir los controles de seguridad como Captchas o usar tarjetas de crédito robadas para pagar la factura, esta operación muestra la profundidad del panorama de amenazas.
“Las organizaciones deben poner en funcionamiento esta inteligencia para determinar si este tipo de ataque puede afectarlas; los ciberdelincuentes no detendrán sus intentos de monetizar los recursos informáticos y de almacenamiento que sustentan la mayoría de los servicios en la nube”, dijo McCarthy a los investigadores.
El aviso de Palo Alto Networks llega unos meses después de que el informe Threat Labs de Netskope sugiriera que Microsoft OneDrive era la aplicación en la nube más explotada por entregar contenido malicioso en 2022.
Fuente: https://www.infosecurity-magazine.com/news/purpleurchin-bypasses-captchas/
Es un conocido experto en seguridad móvil y análisis de malware. Estudió Ciencias de la Computación en la NYU y comenzó a trabajar como analista de seguridad cibernética en 2003. Trabaja activamente como experto en antimalware. También trabajó para empresas de seguridad como Kaspersky Lab. Su trabajo diario incluye investigar sobre nuevos incidentes de malware y ciberseguridad. También tiene un profundo nivel de conocimiento en seguridad móvil y vulnerabilidades móviles.