Han surgido informes de que actores malintencionados supuestamente vinculados al Grupo Lazarus de Corea del Norte ejecutaron un complejo ciberataque que utilizó un juego falso basado en NFT para explotar una vulnerabilidad de día cero en Google Chrome.
Según el informe, la vulnerabilidad permitió finalmente a los atacantes acceder a las billeteras de criptomonedas de las personas.
Explotando la Falla de Día Cero de Chrome
Los analistas de seguridad de Kaspersky Labs, Boris Larin y Vasily Berdnikov, escribieron que los perpetradores clonaron un juego de blockchain llamado DeTankZone y lo promovieron como una arena de batalla multijugador en línea (MOBA) con elementos de jugar para ganar (P2E).
Según los expertos, luego incrustaron un código malicioso dentro del sitio web del juego, detankzone[.]com, infectando dispositivos que interactuaron con él, incluso sin ninguna descarga.
El script explotó un error crítico en el motor JavaScript V8 de Chrome, permitiendo eludir las protecciones de sandbox y habilitando la ejecución remota de código. Esta vulnerabilidad permitió a los sospechosos actores norcoreanos instalar un malware avanzado llamado Manuscrypt, que les dio control sobre los sistemas de las víctimas.
Kaspersky informó a Google sobre la falla al descubrirla. El gigante tecnológico luego abordó el problema con una actualización de seguridad días después. Sin embargo, los hackers ya habían capitalizado sobre ello, sugiriendo un impacto más amplio en usuarios y negocios globales.
Lo que Larin y su equipo de seguridad en Kaspersky encontraron interesante fue cómo los atacantes adoptaron tácticas extensas de ingeniería social. Promovieron el juego contaminado en X y LinkedIn al involucrar a conocidos influenciadores de criptomonedas para distribuir material de marketing generado por IA para él.
La elaborada configuración también incluía sitios web profesionalmente diseñados y cuentas premium de LinkedIn, que ayudaron a crear una ilusión de legitimidad que atrajo a jugadores desprevenidos al juego.
Las Búsquedas Cripto del Grupo Lazarus
Sorprendentemente, el juego NFT no era solo una fachada; era completamente funcional, con elementos de juego como logotipos, pantallas de vista previa y modelos 3D.
Sin embargo, cualquier persona que visitara el sitio web lleno de malware del título P2E tenía su información sensible, incluidas las credenciales de billetera, cosechadas, lo que permitió a Lazarus ejecutar robos de criptomonedas a gran escala.
El grupo ha demostrado un interés sostenido en las criptomonedas a lo largo de los años. En abril, el investigador de blockchain ZachXBT los conectó con más de 25 hackeos de criptomonedas entre 2020 y 2023, que les reportaron más de $200 millones.
Además, el Departamento del Tesoro de EE. UU. ha vinculado a Lazarus con el infame hackeo de Ronin Bridge de 2022, en el cual supuestamente robaron más de $600 millones en ether (ETH) y USD Coin (USDC).
Los datos recopilados por la empresa matriz de 21Shares, 21.co, en septiembre de 2023 revelaron que el grupo criminal tenía más de $47 millones en diversas criptomonedas, incluyendo Bitcoin (BTC), Binance Coin (BNB), Avalanche (AVAX) y Polygon (MATIC).
En total, se dice que han robado activos digitales por un valor de más de $3 mil millones entre 2017 y 2023.
La publicación Los hackers norcoreanos usaron un juego falso de NFT para robar credenciales de billetera: Informe apareció primero en CryptoPotato.
