Появились сообщения о том, что злонамеренные лица, якобы связанные с северокорейской группой Lazarus, осуществили сложную кибератаку, использовав фальшивую игру на основе NFT для эксплуатации уязвимости нулевого дня в Google Chrome.
Согласно отчету, уязвимость в конечном итоге позволила злоумышленникам получить доступ к крипто-кошелькам людей.
Эксплуатация уязвимости нулевого дня в Chrome
Аналитики безопасности Лаборатории Касперского Борис Ларин и Василий Бердников написали, что злоумышленники склонировали блокчейн-игру под названием DeTankZone и продвигали ее как многопользовательскую онлайн-битву (MOBA) с элементами play-to-earn (P2E).
По словам экспертов, они затем внедрили вредоносный код на веб-сайте игры, detankzone[.]com, заражая устройства, которые с ним взаимодействовали, даже без каких-либо загрузок.
Скрипт использовал критическую ошибку в JavaScript-движке V8 Chrome, позволяя обойти песочницу и обеспечивая удаленное выполнение кода. Эта уязвимость позволила подозреваемым северокорейским актерам установить продвинутое вредоносное ПО под названием Manuscrypt, что дало им контроль над системами жертв.
Лаборатория Касперского сообщила о недостатке в Google после его обнаружения. Технологический гигант затем решил проблему с помощью обновления безопасности через несколько дней. Однако хакеры уже воспользовались этим, что предполагает более широкое воздействие на глобальных пользователей и бизнес.
Что Ларин и его команда безопасности в Касперском нашли интересным, так это то, как злоумышленники использовали обширные тактики социальной инженерии. Они продвигали испорченную игру в X и LinkedIn, вовлекая известных крипто-влиятельных лиц для распространения созданного ИИ маркетингового материала для нее.
Сложная настройка также включала профессионально сделанные веб-сайты и премиум-аккаунты LinkedIn, что помогло создать иллюзию легитимности и привлекло ничего не подозревающих игроков к игре.
Крипто-поиски группы Lazarus
Удивительно, но игра NFT была не просто оболочкой; она была полностью функциональной, с игровыми элементами, такими как логотипы, дисплеи и 3D-модели.
Тем не менее, любой, кто посещал зараженный вредоносным ПО веб-сайт P2E, был подвержен сбору их конфиденциальной информации, включая учетные данные кошелька, что позволяло Lazarus осуществлять кражи криптовалюты в больших масштабах.
Группа продемонстрировала устойчивый интерес к криптовалюте на протяжении многих лет. В апреле исследователь цепочек ZackXBT связал их с более чем 25 крипто-взломами между 2020 и 2023 годами, что принесло им более 200 миллионов долларов.
Кроме того, Министерство финансов США связало Lazarus с печально известным взломом моста Ronin в 2022 году, в ходе которого они reportedly украли более 600 миллионов долларов в эфире (ETH) и USD Coin (USDC).
Данные, собранные материнской компанией 21Shares 21.co в сентябре 2023 года, показали, что преступная группа владела более 47 миллионами долларов в различных криптовалютах, включая Bitcoin (BTC), Binance Coin (BNB), Avalanche (AVAX) и Polygon (MATIC).
Всего, по данным, они украли цифровые активы на сумму более 3 миллиардов долларов между 2017 и 2023 годами.
Пост «Северокорейские хакеры использовали фальшивую игру NFT для кражи учетных данных кошельков: отчет» впервые появился на CryptoPotato.
