O grupo norte-coreano Lazarus criou um jogo NFT para explorar usuários do Chrome

De acordo com Berdnikov e Larin, hackers do Grupo Lazarus usaram o jogo para persuadir os usuários a um site malicioso e infectar computadores com seu malware Manuscript, que tem usado desde pelo menos 2013.

O código permitiu que os hackers corrompessem a memória do Chrome, dando-lhes acesso aos cookies, tokens de autenticação, senhas salvas e histórico de navegação dos usuários – tudo o que precisavam para roubar fundos dos usuários.

Outro problema com o mecanismo de segurança Javascript V8 sandbox permitiu que o Lazarus acessasse PCs para investigar se valia a pena continuar um ataque cibernético.

“Conseguimos trac o primeiro estágio do ataque – uma exploração que executa execução remota de código no processo do Google Chrome”, disseram Berdnikov e Larin.

“Depois de confirmar que a exploração foi baseada em uma vulnerabilidade de dia zero direcionada à versão mais recente do Google Chrome, relatamos nossas descobertas ao Google no mesmo dia.”

Dois dias depois que o Google tomou conhecimento da exploração, lançou um patch atualizado para resolver o problema.

Código-fonte roubado usado para criar jogo

O jogo em si, DeTankZone ou DeTankWar, ​​era um jogo de arena de batalha multijogador online totalmente jogável, do tipo "jogue para ganhar", com tanques de tokens não fungíveis (NFT). Os jogadores poderiam lutar entre si em competições online.

Berdnikov e Larin disseram que Lazarus roubou o código-fonte de outro jogo legítimo e promoveu fortemente a versão pirata nas redes sociais.

O jogo falso tinha site e imagens promocionais geradas por inteligência artificial.

“Superficialmente, este site parecia uma página de produto projetada profissionalmente para um jogo de tanque multijogador online de arena de batalha (MOBA) de finanças descentralizadas ( DeFi ) baseado em NFT (token não fungível), convidando os usuários a baixar uma versão de teste”, Berdnikov e Larin disse.

“Mas isso foi apenas um disfarce. Nos bastidores, este site tinha um script oculto que era executado no navegador Google Chrome do usuário, lançando uma exploração de dia zero e dando aos invasores controle total sobre o PC da vítima.”

A Microsoft Security também sinalizou o jogo em uma postagem de maio no X, observando que o jogo malicioso DeTankWar estava entregando um novo ransomware personalizado que a Microsoft apelidou de FakePenny.

“A Microsoft dent um novo ator de ameaça norte-coreano, Moonstone Sleet (Storm-1789), que combina muitas técnicas testadas e comprovadas usadas por outros atores de ameaça norte-coreanos com metodologias de ataque exclusivas para objetivos financeiros e de espionagem cibernética”, disse Microsoft Security. disse.

“Observa-se que Moonstone Sleet cria empresas falsas e oportunidades de emprego para interagir com alvos em potencial, emprega versões trojanizadas de ferramentas legítimas, cria um jogo malicioso chamado DeTankWar e entrega um novo ransomware personalizado que a Microsoft chamou de FakePenny.”

Perdas para o Grupo Lazarus estimadas em mais de US$ 3 bilhões

Lazarus se tornou indiscutivelmente o grupo de hackers de criptografia mais notório desde que entrou em cena em 2009. A empresa de segurança cibernética dos Estados Unidos Recorded Future estimou em 2023 que hackers norte-coreanos roubaram mais de US$ 3 bilhões em criptografia nos seis anos que antecederam 2023.

Um relatório das Nações Unidas também descobriu que hackers norte-coreanos roubaram uma quantidade significativa de ativos criptográficos em 2022, com estimativas entre US$ 630 milhões e mais de US$ 1 bilhão, depois que grupos começaram a visar redes de empresas aeroespaciais e de defesa estrangeiras.

O detetive Blockchain ZachXBT estima que Lazarus lavou mais de US$ 200 milhões em criptografia em 25 hacks entre 2020 e 2023. Em uma postagem de 15 de agosto no X, ele também afirmou ter descoberto evidências de uma rede sofisticada de desenvolvedores norte-coreanos ganhando US$ 500.000 por mês trabalhando para “ projetos criptográficos estabelecidos”.

Ao mesmo tempo, o Departamento do Tesouro dos EUA também acusou Lazarus de ser o principal culpado por trás do ataque de 2022 à ponte Ronin, que rendeu aos hackers mais de US$ 600 milhões em criptografia.