Pojawiły się doniesienia, że złe aktorzy rzekomo powiązani z grupą Lazarus z Korei Północnej przeprowadzili złożony cyberatak, który wykorzystał fałszywą grę opartą na NFT do wykorzystania luki zero-day w Google Chrome.
Zgodnie z raportem, luka ostatecznie pozwoliła napastnikom uzyskać dostęp do portfeli kryptograficznych ludzi.
Wykorzystując lukę zero-day w Chrome
Analitycy bezpieczeństwa z Kaspersky Labs, Boris Larin i Vasily Berdnikov, napisali, że sprawcy sklonowali grę blockchainową o nazwie DeTankZone i promowali ją jako wieloosobową online'ową arenę bitewną (MOBA) z elementami play-to-earn (P2E).
Według ekspertów, wstrzyknęli złośliwy kod na stronę internetową gry, detankzone[.]com, infekując urządzenia, które się z nią kontaktowały, nawet bez żadnych pobrań.
Skrypt wykorzystał krytyczny błąd w silniku JavaScript V8 Chrome, umożliwiając mu ominięcie ochrony piaskownicy i umożliwiając zdalne wykonywanie kodu. Ta luka pozwoliła podejrzewanym aktorom z Korei Północnej zainstalować zaawansowane złośliwe oprogramowanie o nazwie Manuscrypt, które dało im kontrolę nad systemami ofiar.
Kaspersky zgłosił lukę do Google po jej odkryciu. Gigant technologiczny zajął się problemem przy pomocy aktualizacji zabezpieczeń kilka dni później. Jednak hakerzy już z niej skorzystali, co sugeruje szerszy wpływ na globalnych użytkowników i firmy.
To, co Larin i jego zespół bezpieczeństwa w Kaspersky uznali za interesujące, to jak napastnicy przyjęli rozbudowane taktyki inżynierii społecznej. Promowali zainfekowaną grę na X i LinkedIn, angażując znanych influencerów kryptowalutowych do dystrybucji materiałów marketingowych generowanych przez AI.
Skomplikowana konfiguracja obejmowała również profesjonalnie wykonane strony internetowe i premium konta LinkedIn, co pomogło stworzyć iluzję legalności, która przyciągnęła nieświadomych graczy do gry.
Krypto dążenia grupy Lazarus
Zaskakująco, gra NFT nie była tylko powłoką; była w pełni funkcjonalna, z elementami rozgrywki takimi jak loga, wyświetlacze HUD i modele 3D.
Jednak każdy, kto odwiedził zainfekowaną stronę internetową tytułu P2E, miał swoje wrażliwe informacje, w tym dane logowania do portfeli, zbierane, co umożliwiło Lazarusowi przeprowadzenie kradzieży kryptowalut na dużą skalę.
Grupa wykazała stałe zainteresowanie kryptowalutami przez lata. W kwietniu, śledczy blockchain ZachXBT powiązał ich z ponad 25 włamaniami do kryptowalut w latach 2020-2023, co przyniosło im ponad 200 milionów dolarów.
Dodatkowo, Departament Skarbu USA powiązał Lazarusa z infamowym włamaniem do Ronin Bridge w 2022 roku, w którym rzekomo skradziono ponad 600 milionów dolarów w etherze (ETH) i USD Coin (USDC).
Dane zebrane przez spółkę matkę 21Shares, 21.co, we wrześniu 2023 roku ujawniły, że grupa przestępcza posiadała ponad 47 milionów dolarów w różnych kryptowalutach, w tym Bitcoin (BTC), Binance Coin (BNB), Avalanche (AVAX) i Polygon (MATIC).
Ogólnie mówi się, że skradli aktywa cyfrowe o wartości ponad 3 miliardów dolarów w latach 2017-2023.
Post 'Koreańscy Hakerzy Użyli Fałszywej Gry NFT do Kradzieży Danych Logowania do Portfeli: Raport' pojawił się po raz pierwszy na CryptoPotato.
