Le groupe de pirates nord-coréens Lazarus Group a utilisé un faux jeu basé sur la blockchain pour exploiter une vulnérabilité zero-day dans le navigateur Chrome de Google et installer un logiciel espion qui vole les informations d'identification du portefeuille. Les analystes de Kaspersky Labs ont remarqué l'exploit en mai et l'ont signalé à Google, qui l'a corrigé.

 

Jouer à un grand risque

Le jeu d'arène de bataille en ligne multijoueurs du pirate était entièrement jouable et avait fait l'objet d'une promotion sur LinkedIn et X. Le jeu s'appelait DeTankZone ou DeTankWar et utilisait des jetons non fongibles (NFT) comme tanks dans une compétition mondiale.

Les utilisateurs ont été infectés à partir du site web, même s'ils n'ont pas téléchargé le jeu. Les pirates ont modelé le jeu sur le jeu existant DeFiTankLand.

Les pirates ont utilisé un logiciel malveillant appelé Manuscrypt suivi d'un "bug de confusion de type dans le moteur JavaScript V8" inconnu jusqu'à présent. Il s'agit de la septième vulnérabilité zero-day découverte dans Chrome en 2024 jusqu'à la mi-mai.

L'expert principal en sécurité de Kaspersky, Boris Larin, a déclaré:

"Les efforts considérables investis dans cette campagne suggèrent qu'ils avaient des plans ambitieux, et l'impact réel pourrait être beaucoup plus large, affectant potentiellement les utilisateurs et les entreprises dans le monde entier."

Le faux jeu a été remarqué par Microsoft Security en février. Les pirates avaient retiré l'exploit du site web avant que Kaspersky ne puisse l'analyser. Le laboratoire en a tout de même informé Google, qui a corrigé la vulnérabilité dans Chrome avant que les pirates ne puissent l'utiliser à nouveau.

 

La Corée du Nord aime la cryptographie

Les vulnérabilités zéro jour prennent le fournisseur par surprise et aucun correctif n'est prêt à être appliqué. Ainsi, il a fallu 12 jours à Google pour corriger la vulnérabilité en question.

Une autre vulnérabilité zero-day dans Chrome a été exploitée par un autre groupe de pirates nord-coréens pour cibler les détenteurs de crypto-monnaies plus tôt cette année.

Lazarus Group est friand de crypto-monnaies. Entre 2020 et 2023, il a blanchi plus de 200 millions de dollars en crypto grâce à 25 piratages, selon l'observateur de la criminalité cryptographique ZachXBT.

Lazarus Group a également été présumé par le département du Trésor des États-Unis être derrière l'attaque contre Ronin Bridge qui a rapporté plus de 600 millions de dollars de crypto en 2022.

La société américaine de cybersécurité Recorded Future a constaté que les pirates nord-coréens dans leur ensemble ont volé plus de 3 milliards de dollars en crypto entre 2017 et 2023.

 

Source : Cointelegraph - Oct 23, 2024