Появились сообщения о том, что злоумышленники, предположительно связанные с северокорейской группой Lazarus, осуществили сложную кибератаку, в которой использовалась поддельная игра на основе NFT для использования уязвимости нулевого дня в Google Chrome.

Согласно отчету, уязвимость в конечном итоге позволила злоумышленникам получить доступ к криптокошелькам людей.

Использование уязвимости нулевого дня в Chrome

Аналитики безопасности «Лаборатории Касперского» Борис Ларин и Василий Бердников написали, что злоумышленники клонировали блокчейн-игру под названием DeTankZone и продвигали ее как многопользовательскую онлайн-арену сражений (MOBA) с элементами «играй ради заработка» (P2E).

По мнению экспертов, затем они внедрили вредоносный код на сайт игры detankzone[.]com, заражая устройства, которые с ним взаимодействовали, даже без каких-либо загрузок.

Скрипт использовал критическую ошибку в JavaScript-движке Chrome V8, позволив ему обойти защиту песочницы и обеспечить удаленное выполнение кода. Эта уязвимость позволила подозреваемым северокорейским хакерам установить современное вредоносное ПО под названием Manuscrypt, которое давало им контроль над системами жертв.

Касперский сообщил об ошибке в Google после ее обнаружения. Через несколько дней технологический гигант решил эту проблему, обновив систему безопасности. Однако хакеры уже воспользовались этим, предполагая более широкое воздействие на пользователей и бизнес по всему миру.

Ларину и его команде безопасности в «Лаборатории Касперского» показалось интересным то, как злоумышленники применили обширную тактику социальной инженерии. Они продвигали испорченную игру на X и LinkedIn, привлекая известных влиятельных лиц в сфере криптовалют для распространения маркетинговых материалов, созданных для нее с помощью искусственного интеллекта.

Тщательно продуманная установка также включала в себя профессионально созданные веб-сайты и премиум-аккаунты LinkedIn, которые помогали создать иллюзию легитимности и привлекали в игру ничего не подозревающих игроков.

Крипто-проекты Lazarus Group

Удивительно, но игра NFT не была просто оболочкой; он был полностью функциональным, с такими элементами игрового процесса, как логотипы, проекционные дисплеи и 3D-модели.

Однако у любого, кто посетил зараженный вредоносным ПО веб-сайт P2E, была собрана конфиденциальная информация, включая учетные данные кошелька, что позволило Lazarus совершать крупномасштабные кражи криптовалюты.

На протяжении многих лет группа демонстрировала устойчивый интерес к криптовалюте. В апреле сетевой следователь ZachXBT связал их с более чем 25 взломами криптовалют в период с 2020 по 2023 год, в результате чего они получили более 200 миллионов долларов.

Кроме того, Министерство финансов США связало Lazarus с печально известным взломом Ronin Bridge в 2022 году, в результате которого они, как сообщается, украли более 600 миллионов долларов в эфире (ETH) и монетах USD (USDC).

Данные, собранные материнской компанией 21Shares 21.co в сентябре 2023 года, показали, что преступная группа владела более чем 47 миллионами долларов в различных криптовалютах, включая биткойны (BTC), Binance-coin">Binance Coin (BNB), Avalanche (Avax) и Polygon (MATIC).

Сообщается, что в общей сложности в период с 2017 по 2023 год они украли цифровые активы на сумму более 3 миллиардов долларов.

Источник