Lazarus APT a exploatat vulnerabilitatea zero-day in Chrome pentru a fura criptomonede
3/37809
calendar_month 25 Oct 2024, 13:25

Echipa globala de cercetare si analiza a Kaspersky (GReAT) a descoperit o campanie rau intentionata sofisticata a grupului Lazarus, care vizeaza investitorii in criptomonede din intreaga lume. Atacatorii au folosit un site web fals de criptogame care a exploatat o vulnerabilitate zero-day in Google Chrome, pentru a instala spyware si a fura acreditari ale portofelelor digitale. 
 
In mai 2024, expertii Kaspersky, in timp ce analizau incidente din telemetria Kaspersky Security Network, au identificat un atac folosind malware Manuscrypt, care a fost utilizat de grupul Lazarus inca din 2013 si documentat de Kaspersky GReAT in peste 50 de campanii unice, care atacasera companii din diverse industrii. O analiza ulterioara a relevat o campanie rau intentionata sofisticata care s-a bazat in mare masura pe tehnici de inginerie sociala si generative AI pentru a tinti investitorii in criptomonede.

Grupul Lazarus este cunoscut pentru atacurile sale foarte avansate asupra platformelor de criptomonede si are o istorie in utilizarea exploit-urilor zero-day. Aceasta campanie recent descoperita a urmat acelasi model: cercetatorii Kaspersky au descoperit ca infractorii au exploatat doua vulnerabilitati, inclusiv un tip de ”confusion bug” necunoscut anterior in V8, JavaScript si WebAssembly. Aceasta vulnerabilitate zero-day a fost remediata ca CVE-2024-4947 dupa ce Kaspersky a raportat-o la Google. Le-a permis atacatorilor sa execute cod arbitrar, sa ocoleasca functiile de securitate si sa efectueze diverse activitati rau intentionate. O alta vulnerabilitate a fost folosita pentru a ocoli protectia sandbox V8 a Google Chrome.

Atacatorii au exploatat aceasta vulnerabilitate printr-un site web fals de jocuri, bine conceput, care invita utilizatorii sa concureze la nivel global cu tancuri NFT. S-au concentrat pe crearea unui sentiment de incredere pentru a maximiza eficacitatea campaniei, proiectand detalii pentru a face ca activitatile de promovare sa para cat mai autentice posibil. Campania a inclus crearea de conturi de social media pe X (cunoscut anterior ca Twitter) si LinkedIn pentru a promova jocul pe parcursul mai multor luni, folosind imagini generate de AI pentru a spori credibilitatea. Lazarus a integrat cu succes generative AI in operatiunile sale, iar expertii Kaspersky anticipeaza ca atacatorii vor concepe si pe viitor atacuri tot mai sofisticate folosind aceasta tehnologie.
Gruparea a incercat, de asemenea, sa angajeze influenceri din domeniul criptomonedelor pentru campanii de promovare, valorificandu-le prezenta pe retelele sociale nu numai pentru a distribui amenintarea, ci si pentru a ataca direct conturile cripto.


                           Foto: Un site de criptogame fals care a exploatat o vulnerabilitate zero-day pentru a instala spyware
 
Expertii Kaspersky au descoperit un joc legitim care parea sa fi fost un prototip pentru versiunea atacatorilor. La scurt timp dupa ce atacatorii au lansat campania de promovare a jocului lor, dezvoltatorii reali ai jocului au declarat ca 20.000 USD in criptomonede au fost transferati din portofelul lor digital. Logo-ul si designul jocului fals reflectau indeaproape originalul, acestea difereau doar prin plasarea siglei si calitatea vizuala. Avand in vedere aceste asemanari si suprapuneri in cod, expertii Kaspersky subliniaza ca membrii lui Lazarus au facut tot posibilul pentru a da credibilitate atacului lor. Ei au creat un joc fals folosind cod sursa furat, inlocuind siglele si toate referintele la jocul legitim pentru a spori iluzia autenticitatii in versiunea lor aproape identica.



Mai multe detalii gasiti pe Securelist.

comunicat