Il Lazarus Group della Corea del Nord ha creato un gioco blockchain per sfruttare una vulnerabilità nel browser Chrome di Google, installare spyware e rubare le credenziali del portafoglio crittografico, insieme ad altri dati dell'utente.
In un rapporto del 23 ottobre, gli analisti della società di sicurezza informatica Kaspersky Labs Vasily Berdnikovand e Boris Larin hanno affermato di aver scoperto l'exploit del Lazarus Group a maggio e di averlo segnalato a Google, che da allora ha risolto il problema.
Secondo Berdnikov e Larin, gli hacker del Lazarus Group hanno utilizzato il gioco per indurre gli utenti a visitare un sito Web dannoso e infettare i computer con il malware Manuscript, utilizzato almeno dal 2013.
Il codice ha consentito agli hacker di corrompere la memoria di Chrome, dando loro infine accesso ai cookie degli utenti, ai token di autenticazione, alle password salvate e alla cronologia di navigazione, tutto ciò di cui avevano bisogno per rubare i fondi degli utenti.
Un altro problema con il meccanismo di sicurezza Javascript V8 Sandbox ha consentito a Lazarus di accedere ai PC per verificare se valesse la pena continuare un attacco informatico.
"Siamo riusciti a estrarre la prima fase dell'attacco: un exploit che esegue l'esecuzione di codice remoto nel processo di Google Chrome", hanno detto Berdnikov e Larin.
"Dopo aver confermato che l'exploit era basato su una vulnerabilità zero-day mirata all'ultima versione di Google Chrome, abbiamo segnalato i nostri risultati a Google lo stesso giorno."
Due giorni dopo che Google è venuta a conoscenza dell'exploit, ha rilasciato una patch aggiornata per risolvere il problema.
Codice sorgente rubato utilizzato per creare il gioco
Il gioco stesso, DeTankZone o DeTankWar, era un gioco multiplayer online in arena di battaglia completamente giocabile con carri armati NFT (gettoni non fungibili). I giocatori potevano scontrarsi tra loro in competizioni online.
Berdnikov e Larin hanno detto che Lazarus ha rubato il codice sorgente da un altro gioco legittimo e ha promosso pesantemente la versione piratata sui social media.
Il gioco falso aveva un sito Web e immagini promozionali generate utilizzando l'intelligenza artificiale.
"In apparenza, questo sito web somigliava a una pagina di prodotto progettata professionalmente per un gioco di carri armati multiplayer online battle arena (MOBA) basato su NFT (token non fungibile) di finanza decentralizzata (DeFi), che invitava gli utenti a scaricare una versione di prova", Berdnikov e Ha detto Larin.
«Ma quello era solo un travestimento. Sotto il cofano, questo sito web aveva uno script nascosto che veniva eseguito nel browser Google Chrome dell'utente, lanciando un exploit zero-day e dando agli aggressori il controllo completo sul PC della vittima."
Microsoft Security ha anche segnalato il gioco in un post di maggio su X, sottolineando che il gioco dannoso DeTankWar stava distribuendo un nuovo ransomware personalizzato che Microsoft ha soprannominato FakePenny.
"Microsoft ha identificato un nuovo attore di minacce nordcoreano, Moonstone Sleet (Storm-1789), che combina molte tecniche collaudate utilizzate da altri autori di minacce nordcoreane con metodologie di attacco uniche per obiettivi finanziari e di spionaggio informatico", ha affermato Microsoft Security.
"Si osserva che Moonstone Sleet crea aziende false e opportunità di lavoro per interagire con potenziali obiettivi, impiega versioni trojanizzate di strumenti legittimi, crea un gioco dannoso chiamato DeTankWar e distribuisce un nuovo ransomware personalizzato che Microsoft ha chiamato FakePenny."
Le perdite per il Gruppo Lazarus sono stimate in oltre 3 miliardi di dollari
Lazarus è diventato senza dubbio il gruppo di hacker di criptovalute più noto da quando è entrato in scena nel 2009. La società di sicurezza informatica statunitense Recorded Future ha stimato nel 2023 che gli hacker nordcoreani hanno rubato oltre 3 miliardi di dollari in criptovalute nei sei anni precedenti al 2023.
Un rapporto delle Nazioni Unite ha inoltre rilevato che gli hacker nordcoreani hanno rubato una quantità significativa di criptovalute nel 2022, con stime comprese tra 630 milioni di dollari e oltre 1 miliardo di dollari, dopo che i gruppi hanno iniziato a prendere di mira reti di società aerospaziali e di difesa straniere.
Il detective della blockchain ZachXBT stima che Lazarus abbia riciclato oltre 200 milioni di dollari in criptovalute da 25 hack tra il 2020 e il 2023. In un post del 15 agosto su X, ha anche affermato di aver scoperto prove di una sofisticata rete di sviluppatori nordcoreani che guadagnano 500.000 dollari al mese lavorando per " progetti crittografici consolidati”.
Allo stesso tempo, il Dipartimento del Tesoro degli Stati Uniti ha anche accusato Lazarus di essere il principale colpevole dietro l'attacco del 2022 al Ronin Bridge, che ha fruttato agli hacker oltre 600 milioni di dollari in criptovalute.