Lazarus APT a exploatat vulnerabilitatea zero-day în Chrome pentru a fura criptomonede

Echipa globală de cercetare și analiză a Kaspersky (GReAT) a descoperit o campanie rău intenționată sofisticată a grupului Lazarus, care vizează investitorii în criptomonede din întreaga lume. Atacatorii au folosit un site web fals de criptogame care a exploatat o vulnerabilitate zero-day în Google Chrome, pentru a instala spyware și a fura acreditări ale portofelelor digitale.

În mai 2024, experții Kaspersky, în timp ce analizau incidente din telemetria Kaspersky Security Network, au identificat un atac folosind malware Manuscrypt, care a fost utilizat de grupul Lazarus încă din 2013 și documentat de Kaspersky GReAT în peste 50 de campanii unice, care atacaseră companii din diverse industrii. O analiză ulterioară a relevat o campanie rău intenționată sofisticată care s-a bazat în mare măsură pe tehnici de inginerie socială și generative AI pentru a ținti investitorii în criptomonede.
Grupul Lazarus este cunoscut pentru atacurile sale foarte avansate asupra platformelor de criptomonede și are o istorie în utilizarea exploit-urilor zero-day. Această campanie recent descoperită a urmat același model: cercetătorii Kaspersky au descoperit că infractorii au exploatat două vulnerabilități, inclusiv un tip de ”confusion bug” necunoscut anterior în V8, JavaScript și WebAssembly. Această vulnerabilitate zero-day a fost remediată ca CVE-2024-4947 după ce Kaspersky a raportat-o la Google. Le-a permis atacatorilor să execute cod arbitrar, să ocolească funcțiile de securitate și să efectueze diverse activități rău intenționate. O altă vulnerabilitate a fost folosită pentru a ocoli protecția sandbox V8 a Google Chrome.

Atacatorii au exploatat această vulnerabilitate printr-un site web fals de jocuri, bine conceput, care invita utilizatorii să concureze la nivel global cu tancuri NFT. S-au concentrat pe crearea unui sentiment de încredere pentru a maximiza eficacitatea campaniei, proiectând detalii pentru a face ca activitățile de promovare să pară cât mai autentice posibil. Campania a inclus crearea de conturi de social media pe X (cunoscut anterior ca Twitter) și LinkedIn pentru a promova jocul pe parcursul mai multor luni, folosind imagini generate de AI pentru a spori credibilitatea. Lazarus a integrat cu succes generative AI în operațiunile sale, iar experții Kaspersky anticipează că atacatorii vor concepe și pe viitor atacuri tot mai sofisticate folosind această tehnologie.
Gruparea a încercat, de asemenea, să angajeze influenceri din domeniul criptomonedelor pentru campanii de promovare, valorificându-le prezența pe rețelele sociale nu numai pentru a distribui amenințarea, ci și pentru a ataca direct conturile cripto.

Un site de criptogame fals care a exploatat o vulnerabilitate zero-day pentru a instala spyware

Experții Kaspersky au descoperit un joc legitim care părea să fi fost un prototip pentru versiunea atacatorilor. La scurt timp după ce atacatorii au lansat campania de promovare a jocului lor, dezvoltatorii reali ai jocului au declarat că 20.000 USD în criptomonede au fost transferați din portofelul lor digital. Logo-ul și designul jocului fals reflectau îndeaproape originalul, acestea difereau doar prin plasarea siglei și calitatea vizuală. Având în vedere aceste asemănări și suprapuneri în cod, experții Kaspersky subliniază că membrii lui Lazarus au făcut tot posibilul pentru a da credibilitate atacului lor. Ei au creat un joc fals folosind cod sursă furat, înlocuind siglele și toate referințele la jocul legitim pentru a spori iluzia autenticității în versiunea lor aproape identică.