Le groupe nord-coréen Lazarus a créé un jeu blockchain pour exploiter une vulnérabilité du navigateur Chrome de Google, installer des logiciels espions et voler les informationsdentdu portefeuille cryptographique, ainsi que d'autres données utilisateur.
Dans un rapport , Vasily Berdnikovand et Boris Larin, analystes de la société de cybersécurité Kaspersky Labs, ont déclaré avoir découvert l'exploit du groupe Lazarus en mai et l'avoir signalé à Google, qui a depuis résolu le problème.
Selon Berdnikov et Larin, les pirates du groupe Lazarus ont utilisé le jeu pour amener les utilisateurs vers un site Web malveillant et infecter les ordinateurs avec son malware Manuscript, qu'il utilise depuis au moins 2013.
Le code a permis aux pirates de corrompre la mémoire de Chrome, leur donnant finalement accès aux cookies des utilisateurs, aux jetons d'authentification, aux mots de passe enregistrés et à l'historique de navigation, tout ce dont ils avaient besoin pour voler les fonds des utilisateurs.
Un autre problème avec le mécanisme de sécurité Javascript V8 sandbox a permis à Lazarus d'accéder aux PC pour déterminer si la poursuite d'une cyberattaque en valait la peine.
"Nous avons putracla première étape de l'attaque, un exploit qui exécute du code à distance dans le processus Google Chrome", ont déclaré Berdnikov et Larin.
"Après avoir confirmé que l'exploit était basé sur une vulnérabilité zero-day ciblant la dernière version de Google Chrome, nous avons signalé nos découvertes à Google le même jour."
Deux jours après que Google ait pris connaissance de l'exploit, il a publié un correctif mis à jour pour résoudre le problème.
Code source volé utilisé pour créer un jeu
Le jeu lui-même, DeTankZone ou DeTankWar, était un jeu d'arène de combat en ligne multijoueur entièrement jouable pour gagner avec des chars à jetons non fongibles ( NFT ). Les joueurs pouvaient s'affronter dans des compétitions en ligne.
Berdnikov et Larin ont déclaré que Lazarus avait volé le code source d'un autre jeu légitime et avait largement fait la promotion de la version piratée sur les réseaux sociaux.
Le faux jeu comportait un site Web et des images promotionnelles générées à l’aide de l’intelligence artificielle.
"En apparence, ce site Web ressemblait à une page de produit conçue par des professionnels pour un jeu de tank multijoueur d'arène de combat en ligne (MOBA) multijoueur basé sur la finance décentralisée (DeFi) NFT (jeton non fongible), invitant les utilisateurs à télécharger une version d'essai", Berdnikov et » dit Larine.
«Mais ce n'était qu'un déguisement. Sous le capot, ce site Web contenait un script caché qui s'exécutait dans le navigateur Google Chrome de l'utilisateur, lançant un exploit zero-day et donnant aux attaquants un contrôle total sur le PC de la victime.
Microsoft Security a également signalé le jeu dans un article sur X, notant que le jeu malveillant DeTankWar proposait un nouveau ransomware personnalisé que Microsoft a surnommé FakePenny.
"Microsoft adentun nouvel acteur menaçant nord-coréen, Moonstone Sleet (Storm-1789), qui combine de nombreuses techniques éprouvées utilisées par d'autres acteurs nord-coréens avec des méthodologies d'attaque uniques à des fins financières et de cyberespionnage", a déclaré Microsoft Security. dit.
"On observe que Moonstone Sleet crée de fausses entreprises et des opportunités d'emploi pour interagir avec des cibles potentielles, emploie des versions trojanisées d'outils légitimes, crée un jeu malveillant appelé DeTankWar et propose un nouveau ransomware personnalisé que Microsoft a nommé FakePenny."
Les pertes du groupe Lazarus sont estimées à plus de 3 milliards de dollars
Lazarus est sans doute devenu le groupe de pirates cryptographiques le plus notoire depuis son arrivée sur la scène en 2009. La société américaine de cybersécurité Recorded Future a estimé en 2023 que les pirates nord-coréens ont volé plus de 3 milliards de dollars de crypto au cours des six années précédant 2023.
Un rapport des Nations Unies a également révélé que des pirates nord-coréens ont volé une quantité importante d'actifs cryptographiques en 2022, avec des estimations comprises entre 630 millions de dollars et plus d'un milliard de dollars, après que des groupes ont commencé à cibler les réseaux d'entreprises étrangères de l'aérospatiale et de la défense.
Le détective Blockchain ZachXBT estime que Lazarus a blanchi plus de 200 millions de dollars en crypto grâce à 25 piratages entre 2020 et 2023. Dans un article sur X, il a également affirmé avoir découvert la preuve d'un réseau sophistiqué de développeurs nord-coréens gagnant 500 000 $ par mois en travaillant pour « » projets de cryptographie établis ».
Dans le même temps, le département du Trésor américain a également accusé Lazarus d'être le principal coupable de l'attaque de Ronin Bridge en 2022, qui a rapporté aux pirates informatiques plus de 600 millions de dollars en crypto.
Cryptopolitan Academy: fatiguée des balançoires du marché? Découvrez comment DeFi peut vous aider à créer un revenu passif stable. Inscrivez-vous maintenant
