Acasă IT News Lazarus APT a exploatat vulnerabilitatea zero-day în Chrome pentru a fura criptomonede

Lazarus APT a exploatat vulnerabilitatea zero-day în Chrome pentru a fura criptomonede

36
NOTĂ: Acest blog nu conţine advertoriale (articole sponsorizate/articole plătite), dar unele articole pot conține linkuri de afiliere. Susțineți acest blog cumpărând software prin aceste linkuri. Mulțumesc!
NOTE: This blog does not contain advertorials (sponsored articles/paid articles), but some articles may contain affiliate links. Support this blog by purchasing software through these links. Thank you!

Echipa globală de cercetare și analiză a Kaspersky (GReAT) a descoperit o campanie rău intenționată sofisticată a grupului Lazarus, care vizează investitorii în criptomonede din întreaga lume. Atacatorii au folosit un site web fals de criptogame care a exploatat o vulnerabilitate zero-day în Google Chrome, pentru a instala spyware și a fura acreditări ale portofelelor digitale. 

Lazarus APT a exploatat vulnerabilitatea zero-day în Chrome pentru a fura criptomonede

În mai 2024, experții Kaspersky, în timp ce analizau incidente din telemetria Kaspersky Security Network, au identificat un atac folosind malware Manuscrypt, care a fost utilizat de grupul Lazarus încă din 2013 și documentat de Kaspersky GReAT în peste 50 de campanii unice, care atacaseră companii din diverse industrii. O analiză ulterioară a relevat o campanie rău intenționată sofisticată care s-a bazat în mare măsură pe tehnici de inginerie socială și generative AI pentru a ținti investitorii în criptomonede.

Grupul Lazarus este cunoscut pentru atacurile sale foarte avansate asupra platformelor de criptomonede și are o istorie în utilizarea exploit-urilor zero-day. Această campanie recent descoperită a urmat același model: cercetătorii Kaspersky au descoperit că infractorii au exploatat două vulnerabilități, inclusiv un tip de ”confusion bug” necunoscut anterior în V8, JavaScript și WebAssembly. Această vulnerabilitate zero-day a fost remediată ca CVE-2024-4947 după ce Kaspersky a raportat-o la Google. Le-a permis atacatorilor să execute cod arbitrar, să ocolească funcțiile de securitate și să efectueze diverse activități rău intenționate. O altă vulnerabilitate a fost folosită pentru a ocoli protecția sandbox V8 a Google Chrome.

Atacatorii au exploatat această vulnerabilitate printr-un site web fals de jocuri, bine conceput, care invita utilizatorii să concureze la nivel global cu tancuri NFT. S-au concentrat pe crearea unui sentiment de încredere pentru a maximiza eficacitatea campaniei, proiectând detalii pentru a face ca activitățile de promovare să pară cât mai autentice posibil. Campania a inclus crearea de conturi de social media pe X (cunoscut anterior ca Twitter) și LinkedIn pentru a promova jocul pe parcursul mai multor luni, folosind imagini generate de AI pentru a spori credibilitatea. Lazarus a integrat cu succes generative AI în operațiunile sale, iar experții Kaspersky anticipează că atacatorii vor concepe și pe viitor atacuri tot mai sofisticate folosind această tehnologie. 

Gruparea a încercat, de asemenea, să angajeze influenceri din domeniul criptomonedelor pentru campanii de promovare, valorificându-le prezența pe rețelele sociale nu numai pentru a distribui amenințarea, ci și pentru a ataca direct conturile cripto.

Experții Kaspersky au descoperit un joc legitim care părea să fi fost un prototip pentru versiunea atacatorilor. La scurt timp după ce atacatorii au lansat campania de promovare a jocului lor, dezvoltatorii reali ai jocului au declarat că 20.000 USD în criptomonede au fost transferați din portofelul lor digital. Logo-ul și designul jocului fals reflectau îndeaproape originalul, acestea difereau doar prin plasarea siglei și calitatea vizuală. Având în vedere aceste asemănări și suprapuneri în cod, experții Kaspersky subliniază că membrii lui Lazarus au făcut tot posibilul pentru a da credibilitate atacului lor. Ei au creat un joc fals folosind cod sursă furat, înlocuind siglele și toate referințele la jocul legitim pentru a spori iluzia autenticității în versiunea lor aproape identică.

Mai multe detalii pe Securelist.