Selon Palo Alto Networks (PANW : Nasdaq), les pirates ont créé 130 000 comptes sur des plateformes comme GitHub pour exploiter des crypto-monnaies, consommant les ressources des entreprises victimes.
Les nouvelles découvertes ont été révélées par l’unité 42, la branche de recherche de Palo Alto Networks.
La société de sécurité a identifié qu’Automated Libra, le groupe de menaces cloud à l’origine de la campagne de freejacking PurpleUrchin, a créé plus de 130 000 comptes sur des plateformes cloud telles que Heroku et GitHub, pour l’extraction de crypto-monnaie impliquant le vol illégal de ressources sur ces plateformes.
La disponibilité de ces services liés au cloud facilite les menaces car ils n’ont pas besoin de maintenir leur propre infrastructure pour déployer leurs applications en cas d’attaques.
Groupe de pirates sud-africains impliqués dans la création de comptes GitHub pour exploiter la crypto-monnaie
Dans une note à Livecoins, Daniel Bortolazo, responsable de l’ingénierie et de l’architecture chez Palo Alto Networks au Brésil, a déclaré que le groupe à l’origine des attaques opère depuis le continent africain.
« Automated Libra est un groupe de freejacking d’Afrique du Sud qui cible principalement les plateformes cloud qui proposent des essais de leurs fonctionnalités offertes pour un temps limité voire gratuitement pour mener à bien leurs opérations de cryptomining. Avec cette découverte, nous évaluons que les attaquants derrière les opérations de PurpleUrchin ont volé des ressources cloud sur diverses plates-formes qui offrent ce service grâce à une tactique que les chercheurs de l’Unité 42 appellent « Play and Run ». Cela permet aux cybercriminels d’utiliser les ressources du cloud et de refuser de les payer une fois la facture arrivée. »
Le freejacking est un type de cyberattaque qui utilise des plates-formes cloud qui proposent de tester leurs ressources pour effectuer l’extraction de crypto-monnaie.
Selon la recherche, il existe des preuves de soldes impayés sur certaines de ces plates-formes de services cloud à partir de plusieurs des comptes créés. Cette découverte suggère que les pirates ont créé de faux comptes avec des cartes de crédit volées ou contrefaites.
Un rapport d’octobre 2022, rappelons-le, a détecté une fraude contre GitHub, mais seulement dans 30 cas.
Cependant, l’affaire peut impliquer la création de plus de 130 000 faux comptes pour l’extraction de crypto-monnaie, laissant une énorme perte.
« Les pirates de PurpleUrchin ont effectué ces opérations Play and Run en créant et en utilisant de faux comptes avec des cartes de crédit contrefaites ou éventuellement volées. Tous ces comptes que nous avons découverts avaient un solde impayé à payer. Alors que l’un des soldes impayés les plus importants que nous ayons trouvés était de 190 $, nous soupçonnons que les montants dans d’autres faux comptes et services cloud utilisés par les pirates auraient pu être beaucoup plus élevés en raison de l’échelle et de l’étendue de l’opération minière. Lorsque nous appliquons cette valeur aux 130 000 comptes créés, nous avons une vision de la perte.
fraude à grande échelle
La fraude contre les plateformes est connue depuis 2019, mais s’est intensifiée en 2022. Les cybercriminels à l’origine de cette campagne ont créé trois à cinq comptes GitHub chaque minute au plus fort de leurs opérations en novembre 2022.
Le rapport souligne que la raison probable pour laquelle ils ont utilisé GitHub est due à une diminution de la résistance à la création de comptes, profitant d’une faiblesse de la vérification CAPTCHA sur la plate-forme.
Après cela, il a été possible d’établir une base de comptes, en commençant des activités de freejacking.
Pour contourner CAPTCHA comme moyen d’attaque, les pirates ont utilisé un compte Gmail pour automatiser le processus d’obtention du code d’initialisation. Une fois le mot de passe saisi, l’automatisation génère un jeton d’accès personnel (PAT) avec des autorisations de workflow.
Hackers Automated Trading sur les échanges de crypto-monnaie
Dans une note à Livecoins, Bortolazo a déclaré que les chercheurs de l’Unité 42 avaient trouvé des portefeuilles liés aux escroqueries.
De plus, il est devenu clair que les pirates sont capables d’extraire des crypto-monnaies directement vers les échanges, où ils automatisent le trading. Parmi les courtiers utilisés par les responsables de la fraude figurent crex24, Luno, entre autres.
«Les chercheurs de l’unité 42 ont identifié plus de 40 portefeuilles de crypto-monnaie individuels et sept crypto-monnaies ou jetons différents utilisés dans le cadre de l’opération PurpleUrchin. Nous avons également identifié que les composants d’infrastructure spécifiques qui ont été créés n’étaient pas seulement conçus pour exécuter des fonctionnalités de minage, mais aussi pour automatiser le processus de négociation des crypto-monnaies collectées sur diverses plateformes de négociation telles que CRATEX ExchangeMarket, crex24 et Luno.
La société de cybersécurité avertit que les entreprises doivent empêcher les escroqueries à l’avenir.