Los delincuentes han estado abusando de las cuentas gratuitas en la nube de los proveedores de CI/CD para extraer criptomonedas, pero la campaña de amenazas contiene más de lo que parece, advirtieron los expertos.
Los investigadores de ciberseguridad de Sysdig descubrieron más de 30 cuentas de GitHub, 2000 cuentas de Heroku y 900 cuentas de Buddy abusadas en una actividad conocida como «freejacking» (secuestro de cuentas gratuitas). Los investigadores llamaron a la campaña Purpleurchin y la describen como un intento de ejecutar criptomineros «en tantos entornos como sea posible, con la menor intervención posible».
Al usar cuentas gratuitas, el costo de extraer criptomonedas (que siempre es relativamente alto) se transfiere al proveedor de servicios (en este caso, GitHub, Heroku y Buddy).
enormes daños
Después de analizar la campaña, los investigadores de Sysdig estimaron que cada cuenta gratuita de GitHub creada por Purpleurchin le costaba a la plataforma $15 al mes. A fin de cuentas, le costaría a la plataforma unos $100,000 para que el actor de amenazas extraiga un token de Monero (un token actualmente vale aproximadamente $150).
Pero los atacantes aún no están extrayendo Monero. En realidad, están tratando de extraer un montón de monedas desconocidas, incluidas Tidecoin, Onyx, Surgarchain, Sprint, Yenten, Arionum, MintMe y Bitweb. Aparentemente, toda la campaña es poco rentable.
Esto ha llevado a los investigadores a creer que todo esto sigue siendo un experimento o un intento de apoderarse de las cadenas de bloques subyacentes.
Si se trata de un experimento, los actores de la amenaza solo lo están probando para ver si el método funciona, antes de pasar a tokens más destacados (como bitcoin o monero). En cuanto a atacar la cadena de bloques, una entidad puede hacerse cargo de las redes de prueba de trabajo (en las que las monedas se pueden «minar», a diferencia de las monedas de prueba de participación que están todas previamente minadas) si puede contener 51 %+ del poder de hash (poder de minería). Eso le daría a esa entidad la capacidad de hacer retroceder la cadena de bloques, realizar un doble gasto y cosas similares. Sin embargo, también haría bajar el precio del token.
Las direcciones a las que los mineros deben enviar los tokens extraídos están ocultas, lo que hace imposible determinar el éxito de la campaña o identificar a los atacantes.
Vía: BleepingComputer (se abre en una pestaña nueva)