Hackers Lazarus Exploram Vulnerabilidade do Google Chrome Para Infectar Dispositivos

A Equipe Global de Pesquisa e Análise da Kaspersky (GReAT) revelou na quarta-feira que o infame grupo de Ameaça Persistente Avançada (APT) Lazarus, da Coreia do Norte, explorou uma vulnerabilidade zero-day do Google Chrome, agora corrigida, através de um falso jogo de finanças descentralizadas (DeFi) para instalar spyware e roubar credenciais de carteiras.

Em 13 de maio de 2024, os especialistas da Kaspersky descobriram uma campanha maliciosa que havia começado em fevereiro de 2024, após identificarem uma nova variante do malware backdoor “Manuscrypt” em um dos computadores de seus clientes na Rússia.

O Lazarus tem usado o malware Manuscrypt desde pelo menos 2013, e ele foi utilizado em mais de 50 campanhas únicas visando diversas indústrias.

A sofisticada campanha maliciosa descoberta pela Kaspersky dependia fortemente de técnicas de engenharia social e IA generativa para atingir investidores em criptomoedas.

Os pesquisadores da Kaspersky descobriram que o ator da ameaça explorou duas vulnerabilidades, uma das quais foi rastreada como CVE-2024-4947, um bug zero-day anteriormente desconhecido no motor de navegador V8 do Google Chrome que permitia a um atacante remoto executar código arbitrário dentro de uma sandbox através de uma página HTML manipulada.

Essa vulnerabilidade foi corrigida pelo Google em 25 de maio de 2024, com a versão 125.0.6422.60/.61 do Chrome, após a Kaspersky relatar a falha à empresa.

Além disso, uma segunda vulnerabilidade permitiu que os atacantes contornassem a proteção da sandbox do Google Chrome. O Google corrigiu a vulnerabilidade de contorno da sandbox em março de 2024.

Para sua campanha, os atores da ameaça exploraram o navegador web Google Chrome, que se originou do site “detankzone[.]com.”

“À primeira vista, este site se parecia com uma página de produto profissionalmente projetada para um jogo de batalha online multiplayer (MOBA) baseado em NFT (token não fungível) de finanças descentralizadas (DeFi), convidando os usuários a baixar uma versão de teste,” disseram os pesquisadores da Kaspersky, Boris Larin e Vasily Berdnikov.

“Mas isso era apenas uma disfarce. Por trás das cenas, este site tinha um script oculto que rodava no navegador Google Chrome do usuário, lançando um exploit zero-day e dando aos atacantes controle total sobre o PC da vítima. Visitar o site era tudo o que era necessário para ser infectado — o jogo era apenas uma distração.”

A Kaspersky descobriu que os atacantes usaram um jogo NFT legítimo — DeFiTankLand (DFTL) — como protótipo para o jogo falso e manteve seu design muito semelhante ao original. Para manter a ilusão de forma contínua, o jogo falso foi desenvolvido usando o código-fonte roubado; no entanto, os logotipos e referências foram alterados da versão original.

Os pesquisadores também acrescentaram que os atacantes contataram figuras influentes no espaço das criptomoedas para fazê-los promover seu site malicioso; suas carteiras de criptomoedas também estavam provavelmente comprometidas.

Em 20 de fevereiro de 2024, os atacantes iniciaram sua campanha e começaram a anunciar seu jogo de tanques no X, após o que criptomoedas no valor de $20.000 em moedas DFTL2 foram roubadas da carteira do desenvolvedor de DeFiTankLand.

Embora os desenvolvedores do projeto tenham culpado um insider pela violação, a Kaspersky acredita que o grupo Lazarus estava por trás do ataque.

“Embora tenhamos visto atores de APT buscando ganho financeiro antes, esta campanha foi única. Os atacantes foram além das táticas típicas ao usar um jogo totalmente funcional como cobertura para explorar um zero-day do Google Chrome e infectar sistemas-alvo. Com atores notórios como o Lazarus, até mesmo ações aparentemente inócuas — como clicar em um link em uma rede social ou em um e-mail — podem resultar na completa comprometimento de um computador pessoal ou de toda uma rede corporativa. O esforço significativo investido nesta campanha sugere que eles tinham planos ambiciosos, e o impacto real poderia ser muito mais amplo, potencialmente afetando usuários e empresas em todo o mundo,” comentou Larin.