Según ShibDaily, la empresa de ciberseguridad Kaspersky ha descubierto un sofisticado ciberataque dirigido contra el sector de las criptomonedas, orquestado por el grupo norcoreano Lazarus. Anunciado el miércoles, la operación explotó una vulnerabilidad previamente desconocida en Google Chrome a través de un juego de blockchain falso. Esta falla, identificada como CVE-2024-4947, permitió la instalación de un software espía destinado a robar credenciales de billeteras. El ataque fue detectado en mayo de 2024 e involucró un juego falso basado en blockchain utilizado como tapadera para instalar el software malicioso.

El equipo de investigación y análisis global de Kaspersky presentó sus hallazgos en la Cumbre de analistas de seguridad en Bali, donde detalló cómo el Grupo Lazarus utilizó un juego de tanques falso basado en NFT para ejecutar el ataque. El sitio web del juego parecía profesional e invitaba a los usuarios a competir a nivel mundial, lo que agregó credibilidad a la estafa. Los atacantes utilizaron una falla en el motor JavaScript V8 de Chrome para obtener el control de los dispositivos seleccionados. Desde entonces, Google ha parcheado esta vulnerabilidad. Boris Larin, experto principal en seguridad de Kaspersky, señaló que los atacantes emplearon un juego completamente funcional para explotar la vulnerabilidad de día cero de Chrome e infectar sistemas. Acciones simples como hacer clic en un enlace en un correo electrónico o en las redes sociales podrían comprometer redes enteras.

El juego de blockchain falso fue diseñado para distribuir malware, y el diseño del sitio web reflejaba fielmente el de un juego de blockchain legítimo, utilizando el código fuente robado de los desarrolladores originales. Las campañas en plataformas como LinkedIn y X (antes Twitter) promocionaron el juego entre posibles víctimas del sector de las criptomonedas. En marzo de 2024, los desarrolladores legítimos del juego real informaron de una infracción que implicaba el robo de 20.000 dólares en criptomonedas. Los investigadores de Kaspersky sospechan que Lazarus Group estaba detrás de esta infracción anterior, reutilizando el código fuente robado para crear el juego falso. El malware se distribuyó a través de una descarga de archivo ZIP que contenía el juego falso, que requería registro pero también ejecutaba código malicioso.

El ataque de Lazarus Group implicó sofisticadas técnicas de ingeniería social para atraer a inversores en criptomonedas. Kaspersky informó que el grupo construyó una amplia presencia en las redes sociales durante varios meses utilizando contenido generado por IA y contactando a personas influyentes en el mundo de las criptomonedas para promocionar el juego falso. Los atacantes publicaban regularmente en X desde varias cuentas para promocionar su juego. La cadena de ataque también incluía un validador en forma de shellcode que recopilaba información del sistema para determinar si valía la pena seguir explotando el dispositivo infectado. La carga útil entregada después de esta fase sigue siendo desconocida.