Los hackers de Lazarus explotaron una vulnerabilidad de Google Chrome para infectar dispositivos

El equipo de investigación y análisis global de Kaspersky (GReAT) reveló el miércoles que el infame grupo de amenazas persistentes avanzadas (APT) de Corea del Norte, Lazarus, explotó una vulnerabilidad de día cero de Google Chrome que ahora ha sido parcheada a través de un juego falso de finanzas descentralizadas (DeFi) para instalar spyware y robar credenciales de billetera.

El 13 de mayo de 2024, los expertos de Kaspersky descubrieron una campaña maliciosa que había comenzado en febrero de 2024 después de identificar una nueva variante del malware de puerta trasera “Manuscrypt” en uno de los ordenadores de sus clientes en Rusia.

Lazarus ha estado utilizando el malware Manuscrypt desde al menos 2013, y se ha utilizado en más de 50 campañas únicas que apuntan a diversas industrias.

La sofisticada campaña maliciosa descubierta por Kaspersky dependía en gran medida de técnicas de ingeniería social y de IA generativa para dirigirse a inversores en criptomonedas.

Los investigadores de Kaspersky encontraron que el actor de la amenaza explotó dos vulnerabilidades, una de las cuales fue rastreada como CVE-2024-4947, un error de día cero previamente desconocido en el motor de navegador V8 de Google Chrome que permitía a un atacante remoto ejecutar código arbitrario dentro de un sandbox a través de una página HTML manipulada.

Esta vulnerabilidad fue corregida por Google el 25 de mayo de 2024, con la versión 125.0.6422.60/.61 de Chrome, después de que Kaspersky informara del fallo a la empresa.

Además, una segunda vulnerabilidad permitió a los atacantes eludir la protección del sandbox de Google Chrome. Google parcheó la vulnerabilidad de elusión del sandbox en marzo de 2024.

Para su campaña, los actores de la amenaza explotaron el navegador web Google Chrome, que se originó en el sitio web “detankzone[.]com.”

“En la superficie, este sitio web se parecía a una página de producto diseñada profesionalmente para un juego de arena de batalla multijugador (MOBA) basado en NFT (token no fungible) de finanzas descentralizadas (DeFi), invitando a los usuarios a descargar una versión de prueba”, dijeron los investigadores de Kaspersky, Boris Larin y Vasily Berdnikov.

“Pero eso era solo un disfraz. En el fondo, este sitio web tenía un script oculto que se ejecutaba en el navegador Google Chrome del usuario, lanzando un exploit de día cero y dando a los atacantes control total sobre la PC de la víctima. Visitar el sitio web fue todo lo que se necesitó para infectarse: el juego era solo una distracción.”

Kaspersky descubrió que los atacantes utilizaron un juego NFT legítimo—DeFiTankLand (DFTL)—como prototipo para el juego falso y mantuvieron su diseño muy similar al original. Para mantener la ilusión sin problemas, el juego falso fue desarrollado utilizando el código fuente robado; sin embargo, los logotipos y referencias fueron cambiados de la versión original.

Los investigadores también añadieron que los atacantes contactaron a figuras influyentes en el espacio de las criptomonedas para hacer que promovieran su sitio web malicioso; sus billeteras de criptomonedas también estaban probablemente comprometidas.

El 20 de febrero de 2024, los atacantes comenzaron su campaña y empezaron a publicitar su juego de tanques en X, tras lo cual se robaron criptomonedas por un valor de $20,000 en monedas DFTL2 de la billetera del desarrollador de DeFiTankLand.

Aunque los desarrolladores del proyecto culparon a un interno por la violación, Kaspersky cree que el grupo Lazarus estuvo detrás del ataque.

“Si bien hemos visto a actores de APT buscando ganancias financieras antes, esta campaña fue única. Los atacantes fueron más allá de las tácticas típicas al usar un juego completamente funcional como cobertura para explotar un día cero de Google Chrome e infectar sistemas objetivo. Con actores notorios como Lazarus, incluso acciones aparentemente inocuas—como hacer clic en un enlace en una red social o en un correo electrónico—pueden resultar en la completa compromisión de una computadora personal o de toda una red corporativa. El esfuerzo significativo invertido en esta campaña sugiere que tenían planes ambiciosos, y el impacto real podría ser mucho más amplio, afectando potencialmente a usuarios y empresas en todo el mundo”, comentó Larin.