Relatos surgiram de que atores mal-intencionados supostamente ligados ao Grupo Lazarus da Coreia do Norte executaram um ataque cibernético complexo que usou um jogo falso baseado em NFT para explorar uma vulnerabilidade de zero-day no Google Chrome.
De acordo com o relatório, a vulnerabilidade permitiu que os atacantes acessassem as carteiras de criptomoedas das pessoas.
Explorando a Falha de Zero-Day do Chrome
Os analistas de segurança da Kaspersky Labs, Boris Larin e Vasily Berdnikov, escreveram que os perpetradores clonaram um jogo de blockchain chamado DeTankZone e o promoveram como uma arena de batalha online multiplayer (MOBA) com elementos de play-to-earn (P2E).
De acordo com os especialistas, eles então embutiram um código malicioso dentro do site do jogo, detankzone[.]com, infectando dispositivos que interagiam com ele, mesmo sem downloads.
O script explorou um bug crítico no motor JavaScript V8 do Chrome, permitindo que ele contornasse as proteções de sandbox e habilitasse a execução remota de código. Essa vulnerabilidade permitiu que os suspeitos atores norte-coreanos instalassem um malware avançado chamado Manuscrypt, que lhes deu controle sobre os sistemas das vítimas.
A Kaspersky relatou a falha ao Google ao descobri-la. A gigante da tecnologia então abordou o problema com uma atualização de segurança dias depois. No entanto, os hackers já haviam se aproveitado disso, sugerindo um impacto mais amplo sobre usuários e empresas globais.
O que Larin e sua equipe de segurança da Kaspersky acharam interessante foi como os atacantes adotaram táticas extensivas de engenharia social. Eles promoveram o jogo contaminado no X e LinkedIn, envolvendo influenciadores conhecidos de criptomoedas para distribuir material de marketing gerado por IA para ele.
A configuração elaborada também incluía sites profissionalmente feitos e contas premium do LinkedIn, que ajudaram a criar uma ilusão de legitimidade que atraiu jogadores desavisados para o jogo.
Buscas Cripto do Grupo Lazarus
Surpreendentemente, o jogo NFT não era apenas uma casca; era totalmente funcional, com elementos de jogabilidade como logotipos, displays de cabeçalho e modelos 3D.
No entanto, qualquer pessoa que visitasse o site do título P2E repleto de malware teve suas informações sensíveis, incluindo credenciais de carteira, coletadas, permitindo que o Lazarus executasse grandes roubos de criptomoedas.
O grupo demonstrou um interesse sustentado em criptomoedas ao longo dos anos. Em abril, o investigador on-chain ZachXBT os conectou a mais de 25 hacks de criptomoedas entre 2020 e 2023, que lhes renderam mais de $200 milhões.
Além disso, o Departamento do Tesouro dos EUA vinculou o Lazarus ao infame hack do Ronin Bridge de 2022, no qual supostamente roubaram mais de $600 milhões em ether (ETH) e USD Coin (USDC).
Dados coletados pela empresa-mãe da 21Shares, 21.co, em setembro de 2023 revelaram que o grupo criminoso possuía mais de $47 milhões em diversas criptomoedas, incluindo Bitcoin (BTC), Binance Coin (BNB), Avalanche (AVAX) e Polygon (MATIC).
No total, diz-se que roubaram ativos digitais no valor de mais de $3 bilhões entre 2017 e 2023.
A postagem 'Hackers Norte-Coreanos Usaram Jogo Falso de NFT para Roubar Credenciais de Carteira: Relatório' apareceu primeiro no CryptoPotato.
