Il Lazarus Group della Corea del Nord ha creato un gioco blockchain per sfruttare una vulnerabilità nel browser Chrome di Google, installare spyware e rubare ledentdel portafoglio crittografico, insieme ad altri dati dell'utente.
In un rapporto , gli analisti della società di sicurezza informatica Kaspersky Labs Vasily Berdnikovand e Boris Larin hanno affermato di aver scoperto l'exploit del Lazarus Group a maggio e di averlo segnalato a Google, che da allora ha risolto il problema.
Secondo Berdnikov e Larin, gli hacker del Lazarus Group hanno utilizzato il gioco per indurre gli utenti a visitare un sito Web dannoso e infettare i computer con il malware Manuscript, utilizzato almeno dal 2013.
Il codice ha consentito agli hacker di corrompere la memoria di Chrome, dando loro infine accesso ai cookie degli utenti, ai token di autenticazione, alle password salvate e alla cronologia di navigazione, tutto ciò di cui avevano bisogno per rubare i fondi degli utenti.
Un altro problema con il meccanismo di sicurezza Javascript V8 Sandbox ha consentito a Lazarus di accedere ai PC per verificare se valesse la pena continuare un attacco informatico.
"Siamo riusciti atracla prima fase dell'attacco, un exploit che esegue l'esecuzione di codice remoto nel processo di Google Chrome", hanno detto Berdnikov e Larin.
"Dopo aver confermato che l'exploit era basato su una vulnerabilità zero-day mirata all'ultima versione di Google Chrome, abbiamo segnalato i nostri risultati a Google lo stesso giorno."
Due giorni dopo che Google è venuta a conoscenza dell'exploit, ha rilasciato una patch aggiornata per risolvere il problema.
Codice sorgente rubato utilizzato per creare il gioco
Il gioco stesso, DeTankZone o DeTankWar, era un gioco multiplayer online in arena di battaglia completamente giocabile con gettoni non fungibili ( NFT ). I giocatori potevano scontrarsi tra loro in competizioni online.
Berdnikov e Larin hanno detto che Lazarus ha rubato il codice sorgente da un altro gioco legittimo e ha promosso pesantemente la versione piratata sui social media.
Il gioco falso aveva un sito Web e immagini promozionali generate utilizzando l'intelligenza artificiale.
"In apparenza, questo sito web somigliava a una pagina di prodotto progettata professionalmente per un gioco di carri armati multiplayer online battle arena (MOBA) basato su NFT (token non fungibile) di finanza decentralizzata (DeFi), che invitava gli utenti a scaricare una versione di prova", Berdnikov e Ha detto Larin.
«Ma quello era solo un travestimento. Sotto il cofano, questo sito web aveva uno script nascosto che veniva eseguito nel browser Google Chrome dell'utente, lanciando un exploit zero-day e dando agli aggressori il controllo completo sul PC della vittima."
Microsoft Security ha anche segnalato il gioco in un post su X, sottolineando che il gioco dannoso DeTankWar stava distribuendo un nuovo ransomware personalizzato che Microsoft ha soprannominato FakePenny.
"Microsoft hadentun nuovo attore di minacce nordcoreano, Moonstone Sleet (Storm-1789), che combina molte tecniche collaudate utilizzate da altri autori di minacce nordcoreane con metodologie di attacco uniche per obiettivi finanziari e di spionaggio informatico", Microsoft Security disse.
"Si osserva che Moonstone Sleet crea aziende false e opportunità di lavoro per interagire con potenziali obiettivi, impiega versioni trojanizzate di strumenti legittimi, crea un gioco dannoso chiamato DeTankWar e distribuisce un nuovo ransomware personalizzato che Microsoft ha chiamato FakePenny."
Le perdite per il Gruppo Lazarus sono stimate in oltre 3 miliardi di dollari
Lazarus è diventato senza dubbio il gruppo di hacker di criptovalute più noto da quando è entrato in scena nel 2009. La società di sicurezza informatica statunitense Recorded Future ha stimato nel 2023 che gli hacker nordcoreani hanno rubato oltre 3 miliardi di dollari in criptovalute nei sei anni precedenti al 2023.
Un rapporto delle Nazioni Unite ha inoltre rilevato che gli hacker nordcoreani hanno rubato una quantità significativa di criptovalute nel 2022, con stime comprese tra 630 milioni di dollari e oltre 1 miliardo di dollari, dopo che i gruppi hanno iniziato a prendere di mira reti di società aerospaziali e di difesa straniere.
Il detective della blockchain ZachXBT stima che Lazarus abbia riciclato oltre 200 milioni di dollari in criptovalute da 25 hack tra il 2020 e il 2023. In un post su X, ha anche affermato di aver scoperto prove di una sofisticata rete di sviluppatori nordcoreani che guadagnano 500.000 dollari al mese lavorando per " progetti crittografici consolidati”.
Allo stesso tempo, il Dipartimento del Tesoro degli Stati Uniti ha anche accusato Lazarus di essere il principale colpevole dietro l'attacco del 2022 al Ronin Bridge, che ha fruttato agli hacker oltre 600 milioni di dollari in criptovalute.
Cryptolitan Academy: Vuoi far crescere i tuoi soldi nel 2025? Scopri come farlo con DeFi nella nostra prossima webclass. Salva il tuo posto
