Sono emersi rapporti secondo cui malintenzionati presumibilmente legati al gruppo Lazarus della Corea del Nord hanno eseguito un complesso attacco informatico utilizzando un falso gioco basato su NFT per sfruttare una vulnerabilità zero-day in Google Chrome.
Secondo il rapporto, la vulnerabilità ha infine consentito agli aggressori di accedere ai portafogli crittografici delle persone.
Sfruttare il difetto zero-day di Chrome
Gli analisti di sicurezza di Kaspersky Labs Boris Larin e Vasily Berdnikov hanno scritto che gli autori del reato hanno clonato un gioco blockchain chiamato DeTankZone e lo hanno promosso come un'arena di battaglia online multiplayer (MOBA) con elementi play-to-earn (P2E).
Secondo gli esperti, hanno poi incorporato un codice dannoso nel sito web del gioco, detankzone[.]com, infettando i dispositivi che interagivano con esso, anche senza alcun download.
Lo script ha sfruttato un bug critico nel motore JavaScript V8 di Chrome, consentendogli di aggirare le protezioni sandbox e consentendo l'esecuzione di codice remoto. Questa vulnerabilità ha consentito ai presunti autori nordcoreani di installare un malware avanzato chiamato Manuscrypt, che ha dato loro il controllo sui sistemi delle vittime.
Kaspersky ha segnalato il difetto a Google dopo averlo scoperto. Il colosso della tecnologia ha poi affrontato il problema con un aggiornamento della sicurezza pochi giorni dopo. Tuttavia, gli hacker ne avevano già approfittato, suggerendo un impatto più ampio sugli utenti e sulle aziende globali.
Ciò che Larin e il suo team di sicurezza di Kaspersky hanno trovato interessante è il modo in cui gli aggressori hanno adottato ampie tattiche di ingegneria sociale. Hanno promosso il gioco contaminato su X e LinkedIn coinvolgendo noti influencer di criptovalute per distribuire materiale di marketing generato dall'intelligenza artificiale.
L'elaborata configurazione includeva anche siti Web realizzati da professionisti e account LinkedIn premium, che hanno contribuito a creare un'illusione di legittimità che ha attirato giocatori ignari al gioco.
Le attività crittografiche del gruppo Lazarus
Sorprendentemente, il gioco NFT non era solo un guscio; era perfettamente funzionante, con elementi di gioco come loghi, display heads-up e modelli 3D.
Tuttavia, chiunque abbia visitato il sito Web infestato da malware del titolo P2E ha raccolto le proprie informazioni sensibili, comprese le credenziali del portafoglio, consentendo a Lazarus di eseguire furti di criptovalute su larga scala.
Il gruppo ha dimostrato un interesse costante per la criptovaluta nel corso degli anni. Ad aprile, l'investigatore on-chain ZachXBT li ha collegati a più di 25 hack crittografici tra il 2020 e il 2023, che hanno fruttato loro più di 200 milioni di dollari.
Inoltre, il Dipartimento del Tesoro degli Stati Uniti ha collegato Lazarus al famigerato hack del Ronin Bridge del 2022, in cui secondo quanto riferito avrebbero rubato oltre 600 milioni di dollari in ether (ETH) e USD Coin (USDC).
I dati raccolti dalla società madre di 21Shares, 21.co, nel settembre 2023 hanno rivelato che il gruppo criminale deteneva più di 47 milioni di dollari in criptovalute assortite, tra cui Bitcoin (BTC), Binance Coin (BNB), Avalanche (AVAX) e Polygon (MATIC).
In totale, si dice che abbiano rubato risorse digitali per un valore di oltre 3 miliardi di dollari tra il 2017 e il 2023.
Il post Gli hacker nordcoreani hanno utilizzato un gioco NFT falso per rubare le credenziali del portafoglio: il rapporto è apparso per la prima volta su CryptoPotato .