Как банда Lazarus грабила криптокошельки геймеров

Злоумышленники создали целый сайт онлайн-игры в танки и использовали для кражи уязвимость нулевого дня в Google Chrome

Эксперты Глобального центра исследования и анализа угроз «Лаборатории Касперского» обнаружили сложную кампанию группировки хакеров Lazarus, которой часто приписывают связи с Северной Кореей. Потенциально атаки могут затронуть пользователей и организации по всему миру.

Для атак на пользователей по всему миру злоумышленники создали вредоносный сайт для онлайн-игры в танки, в которой якобы можно получать награды в криптовалюте. С его помощью они эксплуатировали уязвимость нулевого дня в браузере Google Chrome, позволяющую заражать устройства и красть учетные данные криптокошельков. Сейчас эта уязвимость устранена, а сайт игры заблокирован.

Что указывает на Lazarus?

В мае 2024 года эксперты «Лаборатории Касперского» обнаружили атаку, в ходе которой использовался бэкдор Manuscrypt. Это инструмент, характерный для группы Lazarus с 2013 года. По данным Kaspersky GReAT, он применялся более чем в 50 уникальных кампаниях, нацеленных на организации из разных отраслей. В ходе дальнейшего анализа выяснилось, что этому предшествовала эксплуатация браузера Google Chrome, что и позволило выявить данную кампанию. Lazarus — одна из немногих кибергрупп, которая использует уязвимости нулевого дня. Этот метод не распространен среди атакующих, поскольку требует много ресурсов, в том числе времени и знаний.

Что за игра?

На сайте пользователям предлагали скачать пробную версию игры, в основе которой лежит модель Play-To-Earn («Играй, чтобы зарабатывать»). Суть игры заключалась в сражениях на виртуальных NFT-танках с соперниками по всему миру, в ней якобы можно было получать выигрыш в криптовалюте. Игру действительно можно было запустить, проверили эксперты «Лаборатории Касперского».

Чтобы привлечь жертв и вызвать у них доверие, атакующие тщательно продумали кампанию по ее продвижению, например, создали аккаунты в международных соцсетях, где рекламировали ее на протяжении нескольких месяцев. При этом они использовали изображения, нарисованные с помощью нейросетей. Также злоумышленники пытались привлечь для рекламы своей игры инфлюенсеров из сферы криптовалют, предположительно затем предпринимались попытки атаковать и их аккаунты.

Эксперты Kaspersky GReAT нашли реальную игру, которая, по всей видимости, послужила прототипом для версии, созданной злоумышленниками. Практически полностью повторяется дизайн: отличия лишь в расположении логотипа и более низком качестве визуального оформления. За основу, вероятно, был взят украденный исходный код, атакующие лишь заменили логотипы и убрали все отсылки к реальной игре. Вскоре после того как злоумышленники запустили кампанию по продвижению вредоносной игры, разработчики прототипа заявили, что с их кошелька было украдено 20 тысяч долларов США в криптовалюте.

Для чего нужна игра?

Игра была лишь прикрытием для злоумышленников. Сайт содержал небольшой фрагмент кода, который позволял загрузить и выполнить эксплойт для браузера Google Chrome. Для этого использовались две уязвимости. Об одной из них ранее не было известно — это ошибка несоответствия используемых типов данных в движке V8 от Google на открытом исходном коде JavaScript и WebAssembly. Она позволяла получить контроль над устройством жертвы: выполнять произвольный код, обходить функции безопасности и осуществлять различную вредоносную активность. Чтобы заразить устройство, достаточно было зайти на сайт, даже не нужно было начать игру.

Недавно эксперты ЛК рассказали о том, как новый криптомайнер атакует пользователей из СНГ.

Борис Ларин, ведущий эксперт Kaspersky GReAT, прокомментировал: «Мы видели уже много кампаний, направленных на получение финансовой выгоды, однако этот случай уникален. Злоумышленники вышли за рамки обычных методов: они использовали в качестве прикрытия полнофункциональную игру, чтобы заражать устройства путем эксплуатации уязвимости нулевого дня в Google Chrome. Если речь идет об атаке такой кибергруппы, как Lazarus, даже такие, казалось бы, безобидные действия, как переход по ссылке в соцсети или в электронном письме, могут привести к полной компрометации компьютера или всей корпоративной сети. Злоумышленники приложили множество усилий для разработки этой кампании, что свидетельствует об амбициозности их планов».

Читайте больше на нашем Telegram-канале!

Похожие статьи

Добавить комментарий

Ваш адрес email не будет опубликован.