Gli hacker di Lazarus hanno sfruttato una vulnerabilità di Google Chrome per infettare i dispositivi

Il Global Research and Analysis Team (GReAT) di Kaspersky ha rivelato mercoledì che il famigerato gruppo nordcoreano Lazarus Advanced Persistent Threat (APT) ha sfruttato una vulnerabilità zero-day di Google Chrome, ora corretta, attraverso un falso gioco di finanza decentralizzata (DeFi) per installare spyware e rubare le credenziali dei portafogli.

Il 13 maggio 2024, gli esperti di Kaspersky hanno scoperto una campagna malevola iniziata a febbraio 2024 dopo aver identificato una nuova variante del malware backdoor “Manuscrypt” su uno dei computer dei loro clienti in Russia.

Lazarus utilizza il malware Manuscrypt almeno dal 2013 e questo è stato impiegato in oltre 50 campagne uniche che mirano a vari settori.

La sofisticata campagna malevola scoperta da Kaspersky si basava fortemente su tecniche di ingegneria sociale e intelligenza artificiale generativa per colpire gli investitori in criptovalute.

I ricercatori di Kaspersky hanno scoperto che l’attore della minaccia ha sfruttato due vulnerabilità, una delle quali è stata tracciata come CVE-2024-4947, un bug zero-day precedentemente sconosciuto nel motore del browser V8 di Google Chrome che consentiva a un attaccante remoto di eseguire codice arbitrario all’interno di un sandbox tramite una pagina HTML creata ad hoc.

Questa vulnerabilità è stata corretta da Google il 25 maggio 2024, con la versione 125.0.6422.60/.61 di Chrome, dopo che Kaspersky ha segnalato il difetto all’azienda.

Inoltre, una seconda vulnerabilità ha consentito agli attaccanti di eludere la protezione sandbox di Google Chrome V8. Google ha corretto la vulnerabilità di bypass della sandbox a marzo 2024.

Per la loro campagna, gli attori della minaccia hanno sfruttato il browser web Google Chrome, che proveniva dal sito web “detankzone[.]com.”

“Superficialmente, questo sito assomigliava a una pagina prodotto progettata professionalmente per un gioco multiplayer online di battaglia con carri armati (MOBA) basato su NFT di finanza decentralizzata (DeFi), invitando gli utenti a scaricare una versione di prova,” hanno dichiarato i ricercatori di Kaspersky Boris Larin e Vasily Berdnikov.

“Ma quello era solo un travestimento. Sotto il cofano, questo sito aveva uno script nascosto che veniva eseguito nel browser Google Chrome dell’utente, lanciando un exploit zero-day e dando agli attaccanti il controllo completo sul PC della vittima. Visitare il sito era tutto ciò che serviva per infettarsi: il gioco era solo una distrazione.”

Kaspersky ha scoperto che gli attaccanti hanno utilizzato un gioco NFT legittimo—DeFiTankLand (DFTL)—come prototipo per il gioco falso e hanno mantenuto il suo design molto simile all’originale. Per mantenere l’illusione senza soluzione di continuità, il gioco falso è stato sviluppato utilizzando il codice sorgente rubato; tuttavia, i loghi e i riferimenti sono stati cambiati rispetto alla versione originale.

I ricercatori hanno anche aggiunto che gli attaccanti hanno contattato figure influenti nel settore delle criptovalute per far promuovere il loro sito web malevolo; i loro portafogli crypto erano anche probabilmente compromessi.

Il 20 febbraio 2024, gli attaccanti hanno avviato la loro campagna e hanno iniziato a pubblicizzare il loro gioco di carri armati su X, dopo di che criptovalute per un valore di $20.000 di monete DFTL2 sono state rubate dal portafoglio dello sviluppatore di DeFiTankLand.

Sebbene gli sviluppatori del progetto abbiano incolpato un insider per la violazione, Kaspersky crede che il gruppo Lazarus fosse dietro l’attacco.

“Anche se abbiamo visto attori APT perseguire guadagni finanziari in passato, questa campagna era unica. Gli attaccanti sono andati oltre le tattiche tipiche utilizzando un gioco completamente funzionante come copertura per sfruttare un zero-day di Google Chrome e infettare i sistemi mirati. Con attori noti come Lazarus, anche azioni apparentemente innocue—come cliccare su un link in un social network o in un’email—possono comportare il completo compromesso di un computer personale o di un’intera rete aziendale. L’impegno significativo investito in questa campagna suggerisce che avevano piani ambiziosi, e l’impatto reale potrebbe essere molto più ampio, potenzialmente influenzando utenti e aziende in tutto il mondo,” ha commentato Larin.