O grupo de hackers sul-africano Automated Libra está em busca de novas abordagens para usar os recursos das plataformas em nuvem para mineração de criptomoedas: hackers ignoram CAPTCHA no GitHub.
Deixe-me lembrá-lo de que também escrevemos isso Hackers forçam os usuários a resolver CAPTCHA, e também isso O novo método de desvio do hCaptcha pode não afetar Cloudflare segurança.
De acordo com Redes Palo Alto, recentemente, invasores estão usando um novo sistema para resolver CAPTCHAs, abusar dos recursos da CPU de forma mais agressiva para mineração, e também misturando roubo grátis com técnicas de brincar e correr.
Pela primeira vez, Libra Automatizada operações foram descobertos por Sysdig analistas no outono passado. Em seguida, os pesquisadores deram um nome ao cluster de malware encontrado Ouriço Roxo e sugeriu que este grupo se especializasse em freejacking, aquilo é, eles abusam do acesso gratuito ou limitado no tempo a vários serviços (GitHub, Heroku e Companheiro) para minerar criptomoeda às suas custas.
Agora os especialistas da Palo Alto Networks estudaram mais detalhadamente a atividade deste grupo, analisando mais do que 250 GB de dados coletados e coleta de mais informações sobre a infraestrutura e métodos dos invasores.
De acordo com os especialistas, as campanhas automatizadas desses invasores estão abusando dos serviços de CI/CD, incluindo GitHub, Heroku, Companheiro, e Caixa de alternância, para criar novas contas e operar mineradores de criptomoedas em contêineres. Mas se os analistas da Sysdig apenas identificassem 3,200 contas maliciosas pertencentes ao PurpleUrchin, então a Palo Alto Networks informa que desde agosto 2019, hackers criaram e usaram mais de 130,000 contas nas plataformas mencionadas.
Além disso, descobriu-se que os invasores usaram contêineres não apenas para a mineração em si, mas também para negociar a criptomoeda extraída em várias plataformas, Incluindo Mercado Exchange, crex24, lua e CRATEX.
Ao mesmo tempo, os pesquisadores confirmam que o freejacking é um aspecto importante das operações automatizadas de Libra, mas escreva que as táticas de Jogar e Correr também são de grande importância. Este termo geralmente se refere a invasores que usam recursos pagos para obter lucro (nesse caso, usando mineração de criptomoeda), mas se recusam a pagar contas até que suas contas sejam congeladas. Uma vez bloqueado, eles abandonam as contas e criam novas.
Como uma regra, Libra automatizada usa dados pessoais roubados e informações de cartão bancário para criar contas premium em plataformas VPS e CSP, deixando um rastro de dívidas não pagas.
Em tais casos, os invasores usam tantos recursos do servidor quanto possível antes de perder o acesso. Isto contrasta fortemente com a tática de freejacking, onde o minerador tenta permanecer invisível e usa apenas uma pequena fração da capacidade do servidor.
Além disso, de acordo com os especialistas, uma característica interessante dos ataques automatizados de Libra é o sistema de solução CAPTCHA, o que ajuda os hackers a criar muitas contas no GitHub automaticamente. Para fazer isso, os invasores usam ImagemMagic e converta as imagens CAPTCHA em seus equivalentes RGB e então use “identificar” para determinar a assimetria do canal vermelho.
Os valores obtidos desta forma são utilizados para classificar as imagens em ordem crescente, e a ferramenta automatizada seleciona a imagem que lidera a lista resultante. Geralmente, é exatamente isso que está correto.
