Le groupe nord-coréen Lazarus a créé un jeu NFT pour exploiter les utilisateurs de Chrome

Le groupe nord-coréen Lazarus a créé un jeu blockchain pour exploiter une vulnérabilité du navigateur Chrome de Google, installer un logiciel espion et voler lesdentde portefeuilles crypto, ainsi que d'autres données utilisateur. 

Dans un rapport, les analystes de la société de cybersécurité Kaspersky Labs, Vasily Berdnikov et Boris Larin, ont déclaré avoir découvert la faille de sécurité du groupe Lazarus en mai et l'avoir signalée à Google, qui a depuis corrigé le problème.

Selon Berdnikov et Larin, les pirates informatiques du groupe Lazarus ont utilisé le jeu pour inciter les utilisateurs à se rendre sur un site Web malveillant et infecter les ordinateurs avec leur logiciel malveillant Manuscript, qu'ils utilisent depuis au moins 2013.

Le code a permis aux pirates de corrompre la mémoire de Chrome, leur donnant ainsi accès aux cookies, aux jetons d'authentification, aux mots de passe enregistrés et à l'historique de navigation des utilisateurs – tout ce dont ils avaient besoin pour voler les fonds des utilisateurs.

Un autre problème lié au mécanisme de sécurité Javascript V8 sandbox a permis à Lazarus d'accéder à des PC pour déterminer s'il était judicieux de poursuivre une cyberattaque.

« Nous avons putracla première étape de l'attaque : une faille permettant l'exécution de code à distance dans le processus Google Chrome », ont déclaré Berdnikov et Larin.

« Après avoir confirmé que l'exploit reposait sur une vulnérabilité zero-day ciblant la dernière version de Google Chrome, nous avons signalé nos conclusions à Google le jour même. »

Deux jours après avoir pris connaissance de la faille, Google a publié un correctif mis à jour pour résoudre le problème.

Code source volé utilisé pour créer le jeu

Le jeu en question, DeTankZone ou DeTankWar, ​​était un jeu d'arène de combat multijoueur en ligne entièrement jouable, basé sur le principe du « payer pour gagner », utilisant des chars d'assaut à jetons non fongibles (NFT). Les joueurs pouvaient s'affronter en ligne.

Berdnikov et Larin ont déclaré que Lazarus avait volé le code source d'un autre jeu légitime et avait fait une promotion intensive de la version piratée sur les réseaux sociaux.

Le faux jeu possédait un site web et des images promotionnelles générées à l'aide d'intelligence artificielle.

« En apparence, ce site Web ressemblait à une page produit conçue par des professionnels pour un jeu de chars d'assaut multijoueur en ligne de type MOBA (arène de bataille en ligne) basé sur la finance décentralisée (DeFi) des NFT(jetons non fongibles), invitant les utilisateurs à télécharger une version d'essai », ont déclaré Berdnikov et Larin.

« Mais ce n'était qu'un leurre. En coulisses, ce site web hébergeait un script caché qui s'exécutait dans le navigateur Google Chrome de l'utilisateur, lançant une faille zero-day et donnant aux attaquants un contrôle total sur l'ordinateur de la victime. »

Microsoft Security a également signalé le jeu dans un article publié sur X, indiquant que le jeu malveillant DeTankWar distribuait un nouveau ransomware personnalisé que Microsoft a baptisé FakePenny.

« Microsoft adentun nouvel acteur de menace nord-coréen, Moonstone Sleet (Storm-1789), qui combine de nombreuses techniques éprouvées utilisées par d'autres acteurs de menace nord-coréens avec des méthodologies d'attaque uniques pour des objectifs financiers et de cyberespionnage », a déclaré Microsoft Security.

« On a observé que Moonstone Sleet met en place de fausses entreprises et de fausses offres d'emploi pour entrer en contact avec des cibles potentielles, utilise des versions troyennes d'outils légitimes, crée un jeu malveillant appelé DeTankWar et diffuse un nouveau ransomware personnalisé que Microsoft a nommé FakePenny. »

Les pertes du groupe Lazarus sont estimées à plus de 3 milliards de dollars

Depuis son apparition en 2009, Lazarus est sans doute devenu le groupe de pirates informatiques de cryptomonnaies le plus notoire. La société américaine de cybersécurité Recorded Future estimait en 2023 que les pirates informatiques nord-coréens avaient volé plus de 3 milliards de dollars en cryptomonnaies au cours des six années précédant 2023.

Un rapport des Nations Unies a également révélé que des pirates informatiques nord-coréens ont volé une quantité importante d'actifs cryptographiques en 2022, estimée entre 630 millions et plus d'un milliard de dollars, après que des groupes ont commencé à cibler les réseaux d'entreprises aérospatiales et de défense étrangères.

ZachXBT, expert en blockchain, estime que Lazarus a blanchi plus de 200 millions de dollars en cryptomonnaies grâce à 25 piratages commis entre 2020 et 2023. Dans un article publié sur X, il affirmait également avoir découvert des preuves de l'existence d'un réseau sophistiqué de développeurs nord-coréens gagnant 500 000 dollars par mois en travaillant pour des projets crypto « établis ».

Dans le même temps, le département du Trésor américain a également accusé Lazarus d'être le principal responsable de l'attaque de 2022 contre Ronin Bridge, qui a rapporté aux pirates informatiques plus de 600 millions de dollars en cryptomonnaie.