Северокорейская группа хакеров Lazarus Group использовала поддельную блокчейн-игру, чтобы эксплуатировать уязвимость нулевого дня в браузере Chrome от Google и установить шпионское ПО, которое крало учетные данные кошельков пользователей.
Многопользовательская онлайн-игра-арена с боями, созданная хакером, была полностью играбельной и рекламировалась на LinkedIn и X. Игра называлась DeTankZone или DeTankWar и использовала невзаимозаменяемые токены (NFT) в качестве танков в мировом соревновании.
Пользователи были инфицированы с сайта, даже если они не скачивали игру. Хакеры смоделировали игру по образцу существующего DeFiTankLand.
Хакеры использовали вредоносное ПО Manuscrypt, а затем ранее неизвестную ошибку путаницы типов в движке JavaScript V8. Это была седьмая уязвимость нулевого дня, обнаруженная в Chrome с 2024 года по середину мая.
Главный эксперт по безопасности компании «Лаборатория Касперского» Борис Ларин сказал:
«Значительные усилия, вложенные в эту кампанию, говорят о том, что у них были амбициозные планы, а фактическое воздействие могло быть гораздо шире и потенциально затрагивать пользователей и компании по всему миру».
Поддельная игра была замечена службой безопасности Microsoft в феврале. Хакеры удалили эксплойт с сайта до того, как Kaspersky смог его проанализировать. Лаборатория все равно сообщила об этом Google, и Google исправила уязвимость в Chrome, прежде чем хакеры смогли использовать ее снова.
Уязвимости нулевого дня застают поставщика врасплох, и для них нет готового патча. Таким образом, Google потребовалось 12 дней, чтобы исправить уязвимость, о которой идет речь.
Ранее в этом году еще одна северокорейская хакерская группа использовала уязвимость нулевого дня в Chrome для атаки на держателей криптовалют.
Lazarus Group любит использовать криптовалюту. По данным наблюдателя за криптовалютной преступностью ZachXBT, в период с 2020 по 2023 год она отмыла более $200 миллионов в криптовалюте в результате 25 взломов.
Министерство финансов США также утверждает, что Lazarus Group стоит за атакой на Ronin Bridge, в результате которой в 2022 году было получено криптовалюты на сумму более $600 миллионов.
Американская компания по кибербезопасности Recorded Future обнаружила, что северокорейские хакеры в общей сложности похитили более $3 миллиардов в криптовалюте в период с 2017 по 2023 год.
Читайте также: