有報道稱,與北韓的拉扎魯斯集團有關的惡意行爲者執行了一次複雜的網絡攻擊,利用一個虛假的基於NFT的遊戲來利用谷歌Chrome的零日漏洞。
根據報告,該漏洞最終允許攻擊者訪問人們的加密錢包。
利用Chrome的零日漏洞
卡巴斯基實驗室的安全分析師鮑里斯·拉林和瓦西里·別爾德尼科夫寫道,攻擊者克隆了一個名爲DeTankZone的區塊鏈遊戲,並將其宣傳爲具有賺取能力(P2E)元素的多人在線戰鬥競技場(MOBA)。
專家表示,他們隨後在遊戲網站detankzone[.]com中嵌入了惡意代碼,感染了與之互動的設備,即使沒有任何下載。
該腳本利用了Chrome的V8 JavaScript引擎中的一個關鍵漏洞,使其能夠繞過沙盒保護,從而啓用遠程代碼執行。這個漏洞使得疑似北韓的行爲者能夠安裝一種名爲Manuscrypt的高級惡意軟件,使他們控制了受害者的系統。
卡巴斯基在發現漏洞後向谷歌報告了此問題。幾天後,科技巨頭針對該問題進行了安全升級。然而,黑客們已經利用了這一漏洞,暗示對全球用戶和企業的更廣泛影響。
拉林和他的卡巴斯基安全團隊發現有趣的是,攻擊者採用了廣泛的社會工程戰術。他們通過吸引知名加密影響者來分發AI生成的營銷材料,在X和領英上推廣這個被污染的遊戲。
複雜的設置還包括專業製作的網站和高級領英賬戶,這幫助創建了一種合法性的幻覺,吸引了毫無防備的玩家參與遊戲。
拉扎魯斯集團的加密追求
令人驚訝的是,這個NFT遊戲不僅僅是一個殼;它是完全功能性的,具有遊戲元素,如徽標、擡頭顯示和3D模型。
然而,任何訪問該P2E標題的惡意軟件網站的人都將敏感信息,包括錢包憑據,收集起來,使拉扎魯斯能夠執行大規模的加密盜竊。
多年來,這個團伙表現出對加密貨幣的持續興趣。在4月,鏈上調查員ZachXBT將他們與2020年至2023年之間超過25起加密黑客攻擊聯繫在一起,獲利超過2億美元。
此外,美國財政部將拉扎魯斯與2022年臭名昭著的羅寧橋黑客攻擊聯繫在一起,報告稱他們盜取了超過6億美元的以太幣(ETH)和美元硬幣(USDC)。
2023年9月,21Shares母公司21.co收集的數據揭示,這個犯罪團伙持有超過4700萬美元的各種加密貨幣,包括比特幣(BTC)、幣安幣(BNB)、雪崩(AVAX)和多邊形(MATIC)。
據說,他們在2017年至2023年間盜取了價值超過30億美元的數字資產。
報告稱,北韓黑客利用虛假的NFT遊戲竊取錢包憑據,首次出現在CryptoPotato上。
