Les hackers Lazarus ont exploité une vulnérabilité de Google Chrome pour infecter des appareils

L’équipe de recherche et d’analyse mondiale de Kaspersky (GReAT) a révélé mercredi que le groupe nord-coréen notoire Lazarus, une menace persistante avancée (APT), a exploité une vulnérabilité zero-day de Google Chrome maintenant corrigée à travers un faux jeu de finance décentralisée (DeFi) pour installer des logiciels espions et voler des identifiants de portefeuille.

Le 13 mai 2024, les experts de Kaspersky ont découvert une campagne malveillante qui avait commencé en février 2024 après avoir identifié une nouvelle variante du malware de porte dérobée « Manuscrypt » sur l’un des ordinateurs de ses clients en Russie.

Lazarus utilise le malware Manuscrypt depuis au moins 2013, et il a été utilisé dans plus de 50 campagnes uniques ciblant diverses industries.

La campagne malveillante sophistiquée découverte par Kaspersky dépendait fortement des techniques d’ingénierie sociale et de l’IA générative pour cibler les investisseurs en cryptomonnaie.

Les chercheurs de Kaspersky ont constaté que l’acteur de la menace avait exploité deux vulnérabilités, dont l’une était suivie sous le nom de CVE-2024-4947, un bug zero-day précédemment inconnu dans le moteur de navigateur V8 de Google Chrome qui permettait à un attaquant distant d’exécuter du code arbitraire à l’intérieur d’un bac à sable via une page HTML conçue.

Cette vulnérabilité a été corrigée par Google le 25 mai 2024, avec la version 125.0.6422.60/.61 de Chrome, après que Kaspersky a signalé le défaut à l’entreprise.

De plus, une deuxième vulnérabilité a permis aux attaquants de contourner la protection du bac à sable de Google Chrome. Google a corrigé la vulnérabilité de contournement du bac à sable en mars 2024.

Pour leur campagne, les acteurs de la menace ont exploité le navigateur web Google Chrome, qui provenait du site « detankzone[.]com. »

« En surface, ce site ressemblait à une page produit conçue professionnellement pour un jeu de bataille en ligne multijoueur (MOBA) basé sur des NFT (jetons non fongibles) de finance décentralisée (DeFi), invitant les utilisateurs à télécharger une version d’essai », ont déclaré les chercheurs de Kaspersky, Boris Larin et Vasily Berdnikov.

« Mais ce n’était qu’un déguisement. Sous le capot, ce site avait un script caché qui s’exécutait dans le navigateur Google Chrome de l’utilisateur, lançant un exploit zero-day et donnant aux attaquants un contrôle total sur le PC de la victime. Visiter le site était tout ce qu’il fallait pour être infecté — le jeu n’était qu’une distraction. »

Kaspersky a découvert que les attaquants utilisaient un jeu NFT légitime — DeFiTankLand (DFTL) — comme prototype pour le faux jeu et ont maintenu son design très similaire à l’original. Pour maintenir l’illusion sans faille, le faux jeu a été développé en utilisant le code source volé ; cependant, les logos et les références ont été modifiés par rapport à la version originale.

Les chercheurs ont également ajouté que les attaquants avaient contacté des personnalités influentes dans le domaine des cryptomonnaies pour les inciter à promouvoir leur site web malveillant ; leurs portefeuilles crypto étaient également probablement compromis.

Le 20 février 2024, les attaquants ont commencé leur campagne et ont commencé à faire de la publicité pour leur jeu de chars sur X, après quoi des cryptomonnaies d’une valeur de 20 000 $ de pièces DFTL2 ont été volées au développeur du portefeuille de DeFiTankLand.

Bien que les développeurs du projet aient blâmé un initié pour la violation, Kaspersky pense que le groupe Lazarus était derrière l’attaque.

« Bien que nous ayons déjà vu des acteurs APT poursuivre un gain financier auparavant, cette campagne était unique. Les attaquants ont dépassé les tactiques typiques en utilisant un jeu entièrement fonctionnel comme couverture pour exploiter un zero-day de Google Chrome et infecter des systèmes ciblés. Avec des acteurs notoires comme Lazarus, même des actions apparemment innocentes — comme cliquer sur un lien sur un réseau social ou dans un e-mail — peuvent entraîner la compromission complète d’un ordinateur personnel ou d’un réseau d’entreprise entier. L’effort significatif investi dans cette campagne suggère qu’ils avaient des plans ambitieux, et l’impact réel pourrait être beaucoup plus large, affectant potentiellement des utilisateurs et des entreprises dans le monde entier », a commenté Larin.