Nhóm Lazarus đã lợi dụng lỗ hổng bảo mật trên Chrome để phát tán phần mềm gián điệp và đánh cắp ví tiền mã hóa của người dùng.
Vào tháng 5/2024, nhóm tin tặc Lazarus của Triều Tiên phát động chiến dịch tấn công dưới vỏ bọc của game DeTankWar – một trò chơi blockchain sử dụng NFT để mô phỏng xe tăng. Game này được sao chép từ DeFiTankLand và được quảng bá rầm rộ trên các nền tảng mạng xã hội như LinkedIn và X. Người dùng chỉ cần truy cập vào website mà không cần tải game cũng có thể bị nhiễm phần mềm gián điệp thông qua lỗ hổng bảo mật zero-day trong Chrome.
Lỗ hổng này, được theo dõi với mã CVE-2024-4947, cho phép tin tặc cài mã độc Manuscrypt vào máy tính của nạn nhân và đánh cắp thông tin đăng nhập ví tiền mã hóa. Ngày 13/5, Kaspersky Labs đã phát hiện và báo cáo vụ tấn công cho Google, giúp phát hành bản vá vào ngày 25/5. Trước đó, Microsoft Security đã cảnh báo về website giả mạo này từ 2/24, nhưng tin tặc đã kịp gỡ mã khai thác trước khi có thêm phân tích chuyên sâu.
Lazarus đẩy mạnh chiến lược tấn công tiền mã hóa
Sự kiện này là một phần trong chiến lược dài hạn của các nhóm tin tặc Triều Tiên nhằm khai thác tiền mã hóa. Nhóm Lazarus từng gây chú ý khi đánh cắp hơn 600 triệu USD từ cầu Ronin vào năm 2022 và đã rửa tiền hơn 200 triệu USD từ 25 vụ tấn công trong giai đoạn 2020-2023. Từ 2017 đến 2023, các nhóm hacker Triều Tiên đã chiếm đoạt hơn 3 tỷ USD từ các nền tảng tiền mã hóa trên toàn cầu.
Việc Lazarus khai thác các công nghệ mới như NFT và DeFi cho thấy sự thay đổi trong chiến thuật tấn công, đặt ra thách thức lớn cho người dùng và doanh nghiệp. Các chuyên gia an ninh khuyến cáo thường xuyên cập nhật phần mềm và thận trọng khi tương tác với các dịch vụ blockchain chưa được kiểm chứng.