Хакеры Lazarus использовали уязвимость Google Chrome для заражения устройств

Глобальная исследовательская и аналитическая команда Kaspersky (GReAT) в среду сообщила, что печально известная группа Lazarus из Северной Кореи использовала теперь уже исправленную уязвимость нулевого дня Google Chrome через поддельную игру в области децентрализованных финансов (DeFi), чтобы установить шпионское ПО и украсть учетные данные кошельков.

13 мая 2024 года эксперты Kaspersky обнаружили вредоносную кампанию, которая началась в феврале 2024 года, после того как они идентифицировали новый вариант вредоносного ПО «Manuscrypt» на одном из компьютеров своих клиентов в России.

Lazarus использует вредоносное ПО Manuscrypt как минимум с 2013 года, и оно использовалось в более чем 50 уникальных кампаниях, нацеленных на различные отрасли.

Сложная вредоносная кампания, выявленная Kaspersky, сильно зависела от техник социальной инженерии и генеративного ИИ для нацеливания на инвесторов в криптовалюту.

Исследователи Kaspersky обнаружили, что злоумышленник использовал две уязвимости, одна из которых отслеживалась как CVE-2024-4947, ранее неизвестная уязвимость нулевого дня в движке браузера V8 Google Chrome, которая позволяла удаленному злоумышленнику выполнять произвольный код внутри песочницы через специально подготовленную HTML-страницу.

Эта уязвимость была исправлена Google 25 мая 2024 года с выходом версии Chrome 125.0.6422.60/.61, после того как Kaspersky сообщил о недостатке компании.

Кроме того, вторая уязвимость позволила злоумышленникам обойти защиту песочницы V8 Google Chrome. Google исправила уязвимость обхода песочницы в марте 2024 года.

Для своей кампании злоумышленники использовали веб-браузер Google Chrome, который происходил с сайта «detankzone[.]com».

«На первый взгляд, этот сайт напоминал профессионально разработанную страницу продукта для многопользовательской онлайн-игры на основе NFT (невзаимозаменяемого токена) в жанре MOBA, приглашая пользователей скачать пробную версию», — сказали исследователи Kaspersky Борис Ларин и Василий Бердников.

«Но это была всего лишь маскировка. За кулисами этот сайт имел скрытый скрипт, который запускался в браузере Google Chrome пользователя, активируя эксплойт нулевого дня и предоставляя злоумышленникам полный контроль над ПК жертвы. Посещение сайта было достаточным для заражения — игра была просто отвлекающим маневром.»

Kaspersky обнаружила, что злоумышленники использовали легитимную NFT-игру — DeFiTankLand (DFTL) — в качестве прототипа для поддельной игры и сохранили ее дизайн очень похожим на оригинал. Чтобы безупречно поддерживать иллюзию, поддельная игра была разработана с использованием украденного исходного кода; однако логотипы и ссылки были изменены с оригинальной версии.

Исследователи также добавили, что злоумышленники связались с влиятельными фигурами в области криптовалют, чтобы заставить их продвигать свой вредоносный сайт; их криптокошельки также, вероятно, были скомпрометированы.

20 февраля 2024 года злоумышленники начали свою кампанию и начали рекламировать свою танковую игру в X, после чего из кошелька разработчика DeFiTankLand было украдено криптовалюты на сумму $20,000 в DFTL2 монетах.

Хотя разработчики проекта обвинили инсайдера в утечке, Kaspersky считает, что за атакой стоит группа Lazarus.

«Хотя мы уже видели, как APT-актеры стремятся к финансовой выгоде, эта кампания была уникальной. Злоумышленники вышли за рамки типичных тактик, используя полностью функциональную игру в качестве прикрытия для эксплуатации уязвимости нулевого дня Google Chrome и заражения целевых систем. С такими печально известными актерами, как Lazarus, даже на первый взгляд безобидные действия — такие как клик по ссылке в социальной сети или в электронном письме — могут привести к полной компрометации персонального компьютера или всей корпоративной сети. Значительные усилия, вложенные в эту кампанию, предполагают, что у них были амбициозные планы, и фактическое воздействие может быть гораздо шире, потенциально затрагивая пользователей и бизнес по всему миру», — прокомментировал Ларин.