Il gruppo di hacker nordcoreani Lazarus Group ha utilizzato un finto gioco basato sulla blockchain per sfruttare una vulnerabilità zero-day nel browser Chrome di Google e installare uno spyware che ha rubato le credenziali del portafoglio. Gli analisti di Kaspersky Labs hanno notato l'exploit a maggio e lo hanno segnalato a Google, che ha provveduto a correggerlo.

Giocare con un grande rischio

Il gioco play-to-earn multiplayer online battle arena degli hacker era completamente giocabile ed era stato promosso su LinkedIn e X. Il gioco si chiamava DeTankZone o DeTankWar e utilizzava token non fungibili (NFT) come carri armati in una competizione mondiale.

Gli utenti venivano infettati dal sito web, anche se non scaricavano il gioco. Gli hacker hanno modellato il gioco sull'esistente DeFiTankLand.

Gli hacker hanno utilizzato un malware chiamato Manuscrypt seguito da un "bug di confusione di tipo precedentemente sconosciuto nel motore JavaScript V8". Si tratta della settima vulnerabilità zero-day trovata in Chrome nel 2024 fino a metà maggio.

Il principale esperto di sicurezza di Kaspersky, Boris Larin, ha dichiarato:

"Il significativo sforzo investito in questa campagna suggerisce che avevano piani ambiziosi, e l'impatto effettivo potrebbe essere molto più ampio, potenzialmente colpendo utenti e aziende in tutto il mondo"."

Il falso gioco è stato notato da Microsoft Security a febbraio. Gli hacker avevano rimosso l'exploit dal sito web prima che Kaspersky potesse analizzarlo. Il laboratorio ha comunque informato Google, che ha corretto la vulnerabilità in Chrome prima che gli hacker potessero utilizzarla di nuovo.

La Corea del Nord ama le criptovalute

Le vulnerabilità zero-day colgono di sorpresa i venditori e non c'è una patch pronta. Un'altra vulnerabilità zero-day di Chrome è stata sfruttata da un altro gruppo di hacker nordcoreani per colpire i possessori di criptovalute all'inizio di quest'anno.

Lazarus Group è appassionato di criptovalute. Tra il 2020 e il 2023, ha riciclato oltre 200 milioni di dollari in criptovalute grazie a 25 hack, secondo l'osservatore di criptocriminalità ZachXBT.

Lazarus Group è stato anche accusato dal Dipartimento del Tesoro degli Stati Uniti di essere dietro l'attacco a Ronin Bridge che ha fruttato criptovalute per oltre 600 milioni di dollari nel 2022.

La società di cybersicurezza statunitense Recorded Future ha rilevato che gli hacker nordcoreani nel complesso hanno rubato oltre 3 miliardi di dollari in criptovalute tra il 2017 e il 2023.

Fonte : Cointelegraph - 23 ott 2024