Северокорейская хакерская группа Lazarus использовала уязвимость нулевого дня Google Chrome, идентифицированную как CVE-2024-4947, создав поддельную игру в сфере децентрализованных финансов (DeFi). Кибератака была нацелена на лиц, работающих в сфере криптовалют, сообщает «Лаборатория Касперского».
Специалисты по информационной безопасности «Лаборатории Касперского» рассказали, что соответствующие кибератаки со стороны северокорейской хакерской группировки Lazarus были обнаружены в середине мая 2024 года. Сразу после выявления уязвимости CVE-2024-4947 информация о ней была передана разработчикам браузера Chrome. Спустя около 12 дней корпорация Google выпустила соответствующий патч, устраняющий выявленную ошибку.
Компания «Лаборатория Касперского» обнаружила хакерскую кампанию, которая началась в феврале 2024 года, после обнаружения нового варианта вредоносного бэкдора «Manuscrypt» на персональном компьютере одного из своих клиентов в России. Уточняется, что группа Lazarus использует Manuscrypt уже много лет, но исследователей заинтриговал нетипичный круг целей злоумышленников, который, по-видимому, включал случайных людей.
Дальнейшая телеметрия показала, что Google Chrome эксплуатировался до обнаружения новой полезной нагрузки Manuscrypt, причём эксплуатация происходила с веб-сайта «detankzone[.]com». Этот веб-сайт продвигал основанную на NFT многопользовательскую онлайновую боевую арену (MOBA), посвящённую танкам, под названием DeTankZone.
Хакеры из Lazarus активно продвигали игру с помощью рекламных кампаний на таких платформах социальных сетей, как X, фишинговых писем и премиум-аккаунтов LinkedIn, используемых для прямых атак на особо ценные цели.
После загрузки и реверс-инжиниринга игры «Лаборатория Касперского» обнаружила, что игра основана на украденном исходном коде из легальной игры под названием DeFiTankLand, которую Lazarus просто переименовали для своих целей.
Загружаемый ZIP-файл размером 400 МБ запускается, как и ожидалось, но не работает дальше экрана входа/регистрации, поскольку внутренняя инфраструктура игры была отключена. Более того, он не выполнял никаких вредоносных действий в системе цели.
Эксплуатация уязвимости Google Chrome происходила на самом сайте detankzone[.]com, который содержал скрытый скрипт (index.tsx), предназначенный для запуска эксплойта для CVE-2024-4947 — путаницы типов в V8, движке JavaScript Chrome.
Оригинал публикации на сайте CISOCLUB: "Хакеры создали поддельную игру в Chrome для кражи денег у криптоинвесторов".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.