O grupo norte-coreano Lazarus criou um jogo NFT para explorar usuários do Chrome

O grupo norte-coreano Lazarus criou um jogo em blockchain para explorar uma vulnerabilidade no navegador Chrome do Google, instalar spyware e roubardentde carteiras de criptomoedas, além de outros dados do usuário. 

Em um relatório, os analistas da empresa de cibersegurança Kaspersky Labs, Vasily Berdnikov e Boris Larin, afirmaram ter descoberto a vulnerabilidade explorada pelo Lazarus Group em maio e a reportado ao Google, que desde então corrigiu o problema.

Segundo Berdnikov e Larin, os hackers do Grupo Lazarus usaram o jogo para atrair usuários a um site malicioso e infectar computadores com o malware Manuscript, que vêm utilizando desde pelo menos 2013.

O código permitiu que os hackers corrompessem a memória do Chrome, dando-lhes acesso aos cookies dos usuários, tokens de autenticação, senhas salvas e histórico de navegação — tudo o que precisavam para roubar os fundos dos usuários.

Outro problema com o mecanismo de segurança Javascript, o sandbox V8, permitiu que o Lazarus acessasse PCs para investigar se valia a pena continuar um ataque cibernético.

“Conseguimostraca primeira etapa do ataque — uma vulnerabilidade que permite a execução remota de código no processo do Google Chrome”, disseram Berdnikov e Larin.

“Após confirmarmos que a exploração se baseava em uma vulnerabilidade zero-day que visava a versão mais recente do Google Chrome, relatamos nossas descobertas ao Google no mesmo dia.”

Dois dias após o Google tomar conhecimento da vulnerabilidade, lançou uma atualização para corrigir o problema.

Código-fonte roubado usado para criar o jogo

O jogo em si, DeTankZone ou DeTankWar, ​​era um jogo de arena de batalha online multijogador totalmente jogável, com tanques representados por tokens não fungíveis (NFTs). Os jogadores podiam batalhar entre si em competições online.

Berdnikov e Larin afirmaram que a Lazarus roubou o código-fonte de outro jogo legítimo e promoveu intensamente a versão pirateada nas redes sociais.

O jogo falso possuía um site e imagens promocionais geradas por inteligência artificial.

“À primeira vista, este site parecia uma página de produto com design profissional para umDeFi) NFTs, convidando os usuários a baixar uma versão de teste”, disseram Berdnikov e Larin.

“Mas isso era apenas um disfarce. Por trás da fachada, este site continha um script oculto que era executado no navegador Google Chrome do usuário, explorando uma vulnerabilidade zero-day e dando aos atacantes controle total sobre o computador da vítima.”

A Microsoft Security também alertou sobre o jogo em uma postagem no X, observando que o jogo malicioso DeTankWar estava distribuindo um novo ransomware personalizado que a Microsoft apelidou de FakePenny.

"A Microsoftdentum novo agente de ameaças norte-coreano, Moonstone Sleet (Storm-1789), que combina muitas técnicas comprovadas usadas por outros agentes de ameaças norte-coreanos com metodologias de ataque exclusivas para objetivos financeiros e de ciberespionagem", afirmou a Microsoft Security.

"Observou-se que o grupo Moonstone Sleet cria empresas e oportunidades de emprego falsas para interagir com potenciais alvos, utiliza versões trojanizadas de ferramentas legítimas, cria um jogo malicioso chamado DeTankWar e distribui um novo ransomware personalizado que a Microsoft denominou FakePenny."

Prejuízos estimados para o Grupo Lazarus ultrapassam US$ 3 bilhões

Desde que surgiu em 2009, o grupo Lazarus tornou-se indiscutivelmente o mais notório grupo de hackers de criptomoedas. A empresa de cibersegurança americana Recorded Future estimou, em 2023, que hackers norte-coreanos roubaram mais de US$ 3 bilhões em criptomoedas nos seis anos anteriores a 2023.

Um relatório das Nações Unidas também constatou que hackers norte-coreanos roubaram uma quantia significativa de criptoativos em 2022, com estimativas entre US$ 630 milhões e mais de US$ 1 bilhão, depois que grupos começaram a atacar redes de empresas estrangeiras dos setores aeroespacial e de defesa.

O detetive de blockchain ZachXBT estima que Lazarus lavou mais de US$ 200 milhões em criptomoedas provenientes de 25 ataques cibernéticos entre 2020 e 2023. Em uma postagem no X, ele também afirmou ter descoberto evidências de uma sofisticada rede de desenvolvedores norte-coreanos que ganhavam US$ 500.000 por mês trabalhando para projetos de criptomoedas "estabelecidos".

Ao mesmo tempo, o Departamento do Tesouro dos EUA também acusou Lazarus de ser o principal culpado pelo ataque de 2022 à Ronin Bridge, que rendeu aos hackers mais de US$ 600 milhões em criptomoedas.