卡巴斯基(Kaspersky)的全球研究与分析团队(GREAT)周三透露,臭名昭著的北朝鲜拉扎鲁斯(Lazarus)先进的持久威胁(APT)小组通过伪造的分散融资(DEFI)游戏来剥削现已发现的Google Chrome Zero-Day日脆弱性(DEFI)游戏,以安装间谍软件并偷走了钱包。
2024年5月13日,卡巴斯基专家发现了一场恶意运动,该活动始于2024年2月,因为他们在其俄罗斯的一台客户的计算机上确定了“ Manuscrypt”后门恶意软件的新变体。
Lazarus至少自2013年以来一直在使用Manuscrypt恶意软件,并且已用于针对各种行业的50多个独特的广告系列。
卡巴斯基(Kaspersky)发现的复杂恶意运动依赖于社会工程技术和生成性AI,以针对加密货币投资者。
卡巴斯基研究人员发现,威胁行为者利用了两个漏洞,其中一个被追踪为CVE-2024-4947,Google Chrome的V8浏览器引擎中以前未知的零日错误,允许远程攻击者通过精心设计的HTML页面在沙箱内执行任意代码。
该漏洞由Google于2024年5月25日修复,Chrome版本为125.0.6422.60/.61,在Kaspersky报告了该公司的缺陷之后。
此外,第二个漏洞使攻击者绕过Google Chrome的V8沙盒保护。 Google在2024年3月修补了沙盒旁路漏洞。
对于他们的竞选活动,威胁参与者利用了Google Chrome Web浏览器,该网站源自网站“ detankzone [。] com。
“从表面上看,该网站类似于专业设计的产品页面,用于分散的金融(DEFI)基于NFT的(非杀菌令牌)多人游戏在线战斗Arena(MOBA)坦克游戏,邀请用户下载试用版,” Kaspersky Researchers研究人员Boris Larin和Vasily Berdnikily Berdnikov说。
“但这只是一个伪装。在引擎盖下,该网站上有一个隐藏的脚本,该脚本在用户的Google Chrome浏览器中运行,启动了零日的利用,并使攻击者完全控制了受害者的PC。访问该网站就是被感染的全部 - 游戏只是一个分心。”
卡巴斯基(Kaspersky)发现,攻击者使用了合法的NFT游戏(DFTL),作为假游戏的原型,并保持其设计与原件非常相似。为了无缝保持幻觉,使用被盗的源代码开发了假游戏;但是,徽标和参考已从原始版本更改。
研究人员还补充说,攻击者联系了加密货币空间中有影响力的人物,以使他们宣传其恶意网站。他们的加密钱包也可能受到妥协。
2024年2月20日,攻击者开始了竞选活动,并开始在X上宣传他们的坦克游戏,然后加密货币从Defitankland的Wallet的开发商中偷走了价值20,000美元的DFTL2硬币。
尽管该项目开发人员指责违规行为的内部人士,但卡巴斯基认为拉撒路集团是袭击的幕后黑手。
“尽管我们以前曾见过APT演员追求经济利益,但这项运动是独一无二的。攻击者通过使用功能齐全的游戏来利用Google Chrome零日和感染目标系统来超越典型策略。凭借拉撒路这样的臭名昭著的演员,即使是在社交网络或电子邮件中单击链接,也可以使个人计算机或整个公司网络完全妥协。在这项运动上投入的巨大努力表明他们制定了雄心勃勃的计划,实际影响可能会更广泛,可能会影响全球的用户和企业。”拉林说。