Die nordkoreanische Lazarus-Gruppe hat ein NFT-Spiel entwickelt, um Chrome-Nutzer auszubeuten

Die nordkoreanische Lazarus-Gruppe entwickelte ein Blockchain-Spiel, um eine Sicherheitslücke im Chrome-Browser von Google auszunutzen, Spyware zu installieren unddentfür Krypto-Wallets sowie andere Benutzerdaten zu stehlen. 

vom 23. Oktober Berichtgaben die Analysten des Cybersicherheitsunternehmens Kaspersky Labs, Vasily Berdnikovand und Boris Larin, an, die Sicherheitslücke der Lazarus Group im Mai entdeckt und an Google gemeldet zu haben, woraufhin das Problem behoben wurde.

Laut Berdnikov und Larin nutzten Hacker der Lazarus-Gruppe das Spiel, um Benutzer auf eine bösartige Website zu locken und Computer mit ihrer Malware Manuscript zu infizieren, die sie mindestens seit 2013 einsetzen.

Der Code ermöglichte es den Hackern, den Speicher von Chrome zu beschädigen und so Zugriff auf Cookies, Authentifizierungstoken, gespeicherte Passwörter und den Browserverlauf der Benutzer zu erhalten – alles, was sie brauchten, um Benutzergelder zu stehlen.

Ein weiteres Problem mit dem Javascript-Sicherheitsmechanismus V8 Sandbox ermöglichte es Lazarus, auf PCs zuzugreifen, um zu untersuchen, ob die Fortsetzung eines Cyberangriffs lohnenswert sei.

„Wir konnten die erste Phase des Angriffstrac– einen Exploit, der die Ausführung von Remote-Code im Google Chrome-Prozess ermöglicht“, sagten Berdnikov und Larin.

„Nachdem wir bestätigt hatten, dass die Sicherheitslücke auf einer Zero-Day-Schwachstelle in der neuesten Version von Google Chrome beruhte, haben wir unsere Erkenntnisse noch am selben Tag an Google gemeldet.“

Zwei Tage nachdem Google von der Sicherheitslücke erfahren hatte, veröffentlichte das Unternehmen einen aktualisierten Patch, um das Problem zu beheben.

Gestohlener Quellcode wurde zur Erstellung des Spiels verwendet

Das Spiel selbst, DeTankZone oder DeTankWar, ​​war ein vollständig spielbares Multiplayer-Online-Battle-Arena-Spiel, in dem man durch Spielen Belohnungen verdienen konnte und Panzer mit Non-Fungible Tokens (NFTs) erspielte. Die Spieler konnten in Online-Wettkämpfen gegeneinander antreten.

Berdnikov und Larin sagten, Lazarus habe den Quellcode eines anderen legalen Spiels gestohlen und die Raubkopie in den sozialen Medien massiv beworben.

Das gefälschte Spiel verfügte über eine Website und Werbebilder, die mithilfe künstlicher Intelligenz generiert wurden.

„Auf den ersten Blick ähnelte diese Website einer professionell gestalteten Produktseite für ein auf dezentralen Finanzen (DeFi) NFT-Multiplayer-Online-Battle-Arena-(MOBA)-Panzerspiel, das die Benutzer zum Herunterladen einer Testversion einlud“, sagten Berdnikov und Larin.

„Aber das war nur ein Vorwand. Im Hintergrund lief auf dieser Website ein verstecktes Skript im Google Chrome-Browser des Nutzers, das eine Zero-Day-Schwachstelle ausnutzte und den Angreifern die vollständige Kontrolle über den PC des Opfers ermöglichte.“

Auch Microsoft Security wies in einem Beitrag auf X im Mai auf das Spiel hin und merkte an, dass das bösartige Spiel DeTankWar eine neue, speziell angefertigte Ransomware verbreitete, die Microsoft FakePenny nannte.

„Microsoft hat einen neuen nordkoreanischen Bedrohungsakteurdent, Moonstone Sleet (Storm-1789), der viele bewährte Techniken anderer nordkoreanischer Bedrohungsakteure mit einzigartigen Angriffsmethoden für finanzielle und Cyber-Spionageziele kombiniert“, so Microsoft Security.

„Moonstone Sleet gründet nachweislich gefälschte Unternehmen und bietet gefälschte Stellenangebote an, um mit potenziellen Opfern in Kontakt zu treten, setzt trojanisierte Versionen legitimer Tools ein, entwickelt ein bösartiges Spiel namens DeTankWar und liefert eine neue, speziell angefertigte Ransomware, die Microsoft FakePenny genannt hat.“

Die Verluste der Lazarus-Gruppe werden auf über 3 Milliarden US-Dollar geschätzt

Lazarus hat sich seit seinem Auftreten im Jahr 2009 zur wohl berüchtigtsten Krypto-Hackergruppe entwickelt. Das US-amerikanische Cybersicherheitsunternehmen Recorded Future schätzte im Jahr 2023, dass nordkoreanische Hacker in den sechs Jahren vor 2023 Kryptowährungen im Wert von über 3 Milliarden Dollar gestohlen haben.

Einem Bericht der Vereinten Nationen zufolge stahlen nordkoreanische Hacker im Jahr 2022 eine beträchtliche Menge an Krypto-Vermögenswerten, Schätzungen zufolge zwischen 630 Millionen und mehr als einer Milliarde Dollar, nachdem Gruppen begonnen hatten, Netzwerke ausländischer Luft- und Raumfahrt- sowie Verteidigungsunternehmen ins Visier zu nehmen.

Der Blockchain-Experte ZachXBT schätzt, dass Lazarus zwischen 2020 und 2023 über 200 Millionen Dollar in Kryptowährung aus 25 Hacks gewaschen hat. In einem Beitrag auf X behauptete er außerdem, Beweise für ein ausgeklügeltes Netzwerk nordkoreanischer Entwickler entdeckt zu haben, die monatlich 500.000 Dollar für „etablierte“ Kryptoprojekte verdienen.

Gleichzeitig beschuldigte das US-Finanzministerium Lazarus auch, der Hauptverantwortliche für den Angriff auf Ronin Bridge im Jahr 2022 zu sein, bei dem die Hacker Kryptowährungen im Wert von über 600 Millionen Dollar erbeuteten.