Sono emersi rapporti secondo cui attori malintenzionati presumibilmente legati al Gruppo Lazarus della Corea del Nord hanno eseguito un attacco informatico complesso che ha utilizzato un gioco NFT falso per sfruttare una vulnerabilità zero-day in Google Chrome.
Secondo il rapporto, la vulnerabilità ha infine consentito agli aggressori di accedere ai portafogli cripto delle persone.
Sfruttare la vulnerabilità zero-day di Chrome
Gli analisti di sicurezza di Kaspersky Labs Boris Larin e Vasily Berdnikov hanno scritto che i perpetratori hanno clonato un gioco blockchain chiamato DeTankZone e lo hanno promosso come un'arena di battaglia online multiplayer (MOBA) con elementi play-to-earn (P2E).
Secondo gli esperti, hanno quindi incorporato un codice malevolo all'interno del sito web del gioco, detankzone[.]com, infettando i dispositivi che interagivano con esso, anche senza alcun download.
Lo script ha sfruttato un bug critico nel motore JavaScript V8 di Chrome, permettendo di eludere le protezioni sandbox e abilitando l'esecuzione di codice remoto. Questa vulnerabilità ha permesso ai presunti attori nordcoreani di installare un malware avanzato chiamato Manuscrypt, che ha dato loro il controllo sui sistemi delle vittime.
Kaspersky ha segnalato la vulnerabilità a Google dopo averla scoperta. Il gigante tecnologico ha poi affrontato il problema con un aggiornamento di sicurezza giorni dopo. Tuttavia, gli hacker avevano già tratto vantaggio da essa, suggerendo un impatto più ampio sugli utenti e sulle aziende globali.
Ciò che Larin e il suo team di sicurezza di Kaspersky hanno trovato interessante è stato come gli aggressori abbiano adottato ampie tattiche di ingegneria sociale. Hanno promosso il gioco contaminato su X e LinkedIn coinvolgendo noti influencer cripto per distribuire materiale di marketing generato da AI.
L'assetto elaborato includeva anche siti web realizzati professionalmente e account premium su LinkedIn, che hanno contribuito a creare un'illusione di legittimità che ha attratto giocatori ignari al gioco.
Le attività crittografiche del Gruppo Lazarus
Sorprendentemente, il gioco NFT non era solo un guscio; era completamente funzionante, con elementi di gioco come loghi, display di testa e modelli 3D.
Tuttavia, chiunque visitasse il sito web infestato di malware del titolo P2E aveva le proprie informazioni sensibili, comprese le credenziali del portafoglio, raccolte, consentendo a Lazarus di eseguire furti crittografici su larga scala.
Il gruppo ha dimostrato un interesse costante per le criptovalute nel corso degli anni. Ad aprile, l'investigatore on-chain ZachXBT li ha collegati a più di 25 hack di criptovalute tra il 2020 e il 2023, che hanno fruttato loro oltre 200 milioni di dollari.
Inoltre, il Dipartimento del Tesoro degli Stati Uniti ha collegato Lazarus all'infame hack del Ronin Bridge del 2022, in cui si dice che abbiano rubato oltre 600 milioni di dollari in ether (ETH) e USD Coin (USDC).
I dati raccolti dalla società madre di 21Shares, 21.co, a settembre 2023 hanno rivelato che il gruppo criminale possedeva più di 47 milioni di dollari in criptovalute assortite, tra cui Bitcoin (BTC), Binance Coin (BNB), Avalanche (AVAX) e Polygon (MATIC).
In totale, si dice che abbiano rubato beni digitali per un valore di oltre 3 miliardi di dollari tra il 2017 e il 2023.
Il post Hacker nordcoreani hanno utilizzato un gioco NFT falso per rubare credenziali di portafoglio: rapporto è apparso per la prima volta su CryptoPotato.
