Северокорейская группа Lazarus создала NFT-игру для эксплуатации пользователей Chrome

Северокорейская компания Lazarus Group создала блокчейн-игру, чтобы использовать уязвимость в браузере Google Chrome, установить шпионское ПО и украстьdentданные криптокошельков, а также другие данные пользователей. 

В отчете от 23 октября аналитики компании Kaspersky Labs Василий Бердникованд и Борис Ларин сообщили, что обнаружили уязвимость в группе Lazarus в мае и сообщили об этом в Google, которая с тех пор устранила проблему.

По словам Бердникова и Ларина, хакеры из группы Lazarus использовали игру, чтобы заманить пользователей на вредоносный веб-сайт и заразить компьютеры своим вредоносным ПО Manuscript, которое они используют как минимум с 2013 года.

Этот код позволил хакерам повредить память Chrome, в конечном итоге получив доступ к файлам cookie пользователей, токенам аутентификации, сохраненным паролям и истории просмотров — ко всему, что им было необходимо для кражи средств пользователей.

Ещё одна проблема с механизмом безопасности JavaScript в песочнице V8 позволила Лазарусу получить доступ к компьютерам, чтобы выяснить, стоит ли продолжать кибератаку.

«Нам удалосьtracпервый этап атаки — эксплойт, который выполняет удаленное выполнение кода в процессе Google Chrome», — заявили Бердников и Ларин.

«После подтверждения того, что эксплойт основан на уязвимости нулевого дня, нацеленной на последнюю версию Google Chrome, мы в тот же день сообщили о наших выводах в Google»

Через два дня после того, как Google узнал об уязвимости, компания выпустила обновленный патч для ее устранения.

Использован украденный исходный код для создания игры

Сама игра, DeTankZone или DeTankWar, ​​представляла собой полноценную многопользовательскую онлайн-игру в жанре боевой арены, где игроки могли зарабатывать внутриигровую валюту, а в качестве танков использовались невзаимозаменяемые токены (NFT). Игроки могли сражаться друг с другом в онлайн-соревнованиях.

Бердников и Ларин заявили, что Лазарус украл исходный код другой легальной игры и активно продвигал пиратскую версию в социальных сетях.

У этой фейковой игры был веб-сайт и рекламные изображения, созданные с помощью искусственного интеллекта.

«На первый взгляд, этот веб-сайт напоминал профессионально оформленную страницу продукта для децентрализованной финансовой (DeFi) многопользовательской онлайн-игры в жанре MOBA (танковая арена), основанной на NFT (невзаимозаменяемых токенах), предлагающей пользователям загрузить пробную версию», — заявили Бердников и Ларин.

«Но это была всего лишь маскировка. Под капотом этого сайта скрывался скрипт, который запускался в браузере Google Chrome пользователя, активируя уязвимость нулевого дня и предоставляя злоумышленникам полный контроль над компьютером жертвы»

В майском сообщении на X компания Microsoft Security также обратила внимание на эту игру, отметив, что вредоносная игра DeTankWar распространяет новый собственный вирус-вымогатель, который Microsoft назвала FakePenny.

«Microsoftdentнового северокорейского злоумышленника, Moonstone Sleet (Storm-1789), который сочетает в себе множество проверенных методов, используемых другими северокорейскими злоумышленниками, с уникальными методами атак для достижения финансовых целей и целей кибершпионажа», — заявила служба безопасности Microsoft.

«Замечено, что Moonstone Sleet создает поддельные компании и вакансии для привлечения потенциальных жертв, использует троянизированные версии легитимных инструментов, создает вредоносную игру под названием DeTankWar и распространяет новый собственный вирус-вымогатель, который Microsoft назвала FakePenny»

Убытки компании Lazarus Group оцениваются более чем в 3 миллиарда долларов

Группа Lazarus, пожалуй, стала самой известной хакерской группировкой, занимающейся криптовалютой, с момента своего появления на сцене в 2009 году. Американская компания по кибербезопасности Recorded Future подсчитала , что северокорейские хакеры украли криптовалюту на сумму более 3 миллиардов долларов за шесть лет до 2023 года.

В докладе Организации Объединенных Наций также говорится, что северокорейские хакеры украли значительное количество криптоактивов в 2022 году, по оценкам, от 630 миллионов до более чем 1 миллиарда долларов, после того как группы начали атаковать сети иностранных аэрокосмических и оборонных компаний.

Детектив по блокчейну ЗакXBT подсчитал, что Лазарус отмыл более 200 миллионов долларов в криптовалюте в результате 25 хакерских атак в период с 2020 по 2023 год. В сообщении на X он также утверждал, что обнаружил доказательства существования сложной сети северокорейских разработчиков, зарабатывающих 500 000 долларов в месяц, работая на «устоявшиеся» криптопроекты.

В то же время Министерство финансов США также обвинило Лазаруса в том, что он является главным виновником атаки на Ronin Bridge в 2022 году, в результате которой хакеры получили более 600 миллионов долларов в криптовалюте.