Lazarus-Hacker nutzten Google Chrome-Sicherheitslücke aus, um Geräte zu infizieren

Kasperskys Global Research and Analysis Team (GReAT) gab am Mittwoch bekannt, dass die berüchtigte nordkoreanische Lazarus-Gruppe für fortgeschrittene Bedrohungen (APT) eine mittlerweile behobene Zero-Day-Sicherheitslücke in Google Chrome ausgenutzt hat, um über ein gefälschtes dezentrales Finanzspiel (DeFi) Spyware zu installieren und Wallet-Anmeldeinformationen zu stehlen.

Am 13. Mai 2024 entdeckten Kaspersky-Experten eine bösartige Kampagne, die im Februar 2024 begonnen hatte, nachdem sie eine neue Variante der „Manuscrypt“-Backdoor-Malware auf einem Computer eines ihrer Kunden in Russland identifiziert hatten.

Lazarus verwendet die Manuscrypt-Malware seit mindestens 2013, und sie wurde in über 50 einzigartigen Kampagnen eingesetzt, die verschiedene Branchen anvisierten.

Die von Kaspersky aufgedeckte ausgeklügelte bösartige Kampagne basierte stark auf Social-Engineering-Techniken und generativer KI, um Krypto-Investoren zu targetieren.

Kaspersky-Forscher fanden heraus, dass der Bedrohungsakteur zwei Sicherheitsanfälligkeiten ausnutzte, von denen eine als CVE-2024-4947 verfolgt wurde, ein zuvor unbekannter Zero-Day-Bug im V8-Browser-Engine von Google Chrome, der es einem Angreifer ermöglichte, beliebigen Code innerhalb einer Sandbox über eine manipulierte HTML-Seite auszuführen.

Diese Sicherheitsanfälligkeit wurde von Google am 25. Mai 2024 mit der Chrome-Version 125.0.6422.60/.61 behoben, nachdem Kaspersky den Fehler dem Unternehmen gemeldet hatte.

Darüber hinaus erlaubte eine zweite Sicherheitsanfälligkeit Angreifern, den Sandbox-Schutz von Google Chrome zu umgehen. Google patchte die Sandbox-Umgehungssicherheitsanfälligkeit im März 2024.

Für ihre Kampagne nutzten die Bedrohungsakteure den Webbrowser Google Chrome, der von der Website „detankzone[.]com“ stammte.

„Auf den ersten Blick ähnelte diese Website einer professionell gestalteten Produktseite für ein dezentrales Finanzspiel (DeFi) auf NFT-Basis (Non-Fungible Token), das die Benutzer einlud, eine Testversion herunterzuladen“, sagten die Kaspersky-Forscher Boris Larin und Vasily Berdnikov.

„Aber das war nur eine Tarnung. Im Hintergrund hatte diese Website ein verstecktes Skript, das im Google Chrome-Browser des Benutzers ausgeführt wurde, um einen Zero-Day-Exploit zu starten und den Angreifern die vollständige Kontrolle über den PC des Opfers zu geben. Es genügte, die Website zu besuchen, um sich zu infizieren – das Spiel war nur eine Ablenkung.“

Kaspersky entdeckte, dass die Angreifer ein legitimes NFT-Spiel – DeFiTankLand (DFTL) – als Prototyp für das gefälschte Spiel verwendeten und dessen Design sehr ähnlich zum Original hielten. Um die Illusion nahtlos aufrechtzuerhalten, wurde das gefälschte Spiel unter Verwendung des gestohlenen Quellcodes entwickelt; jedoch wurden die Logos und Referenzen von der Originalversion geändert.

Die Forscher fügten auch hinzu, dass die Angreifer einflussreiche Persönlichkeiten im Krypto-Bereich kontaktierten, um sie dazu zu bringen, ihre bösartige Website zu bewerben; auch ihre Krypto-Wallets wurden wahrscheinlich kompromittiert.

Am 20. Februar 2024 begannen die Angreifer ihre Kampagne und begannen, ihr Tankspiel auf X zu bewerben, wonach Kryptowährungen im Wert von 20.000 $ an DFTL2-Münzen aus der Wallet des Entwicklers von DeFiTankLand gestohlen wurden.

Obwohl die Projektentwickler einen Insider für den Vorfall verantwortlich machten, glaubt Kaspersky, dass die Lazarus-Gruppe hinter dem Angriff steckte.

„Während wir gesehen haben, dass APT-Akteure zuvor finanzielle Gewinne anstrebten, war diese Kampagne einzigartig. Die Angreifer gingen über typische Taktiken hinaus, indem sie ein voll funktionsfähiges Spiel als Deckmantel verwendeten, um eine Google Chrome-Zero-Day-Sicherheitsanfälligkeit auszunutzen und gezielte Systeme zu infizieren. Bei notorischen Akteuren wie Lazarus können selbst scheinbar harmlose Aktionen – wie das Klicken auf einen Link in einem sozialen Netzwerk oder in einer E-Mail – zur vollständigen Kompromittierung eines Personalcomputers oder eines gesamten Unternehmensnetzwerks führen. Der erhebliche Aufwand, der in diese Kampagne investiert wurde, deutet darauf hin, dass sie ehrgeizige Pläne hatten, und die tatsächlichen Auswirkungen könnten viel breiter sein und potenziell Benutzer und Unternehmen weltweit betreffen“, kommentierte Larin.