Северокорейская хакерская группа Lazarus использовала ранее неизвестную уязвимость в Google Chrome для похищения криптовалюты, скрывая атаку за внешностью обычной онлайн-игры. Об этом сообщили специалисты «Лаборатории Касперского» на конференции Security Analyst Summit 2024 в Бали.
Хакеры разработали сайт с игрой, где игрокам предлагались вознаграждения в криптовалюте, что помогло привлечь их на платформу и внедрить вредоносный код в их устройства.
Атака была тщательно продумана: в течение нескольких месяцев Lazarus продвигала игру через международные социальные сети, создавая образы с помощью нейросетей и подключая криптоинфлюенсеров для усиления рекламы. Специалисты «Лаборатории Касперского» выяснили, что вредоносная игра фактически являлась копией уже существующего проекта с минимальными изменениями в дизайне и логотипах. Через некоторое время после старта кампании разработчики оригинала заявили о краже криптовалюты на сумму 20 тысяч долларов с их кошелька.
Сайт, запущенный группой Lazarus, содержал эксплойт, использующий две уязвимости в Google Chrome. Одна из них — ранее неизвестная ошибка в движке V8 JavaScript и WebAssembly, позволяющая получить доступ к устройству жертвы, обходя защиту и выполняя вредоносные команды. Для активации заражения пользователям было достаточно просто зайти на страницу, даже не открывая саму игру.
«Лаборатория Касперского» сразу уведомила Google об обнаруженной проблеме, и уязвимость, получившая идентификатор CVE-2024-4947, была оперативно устранена. Зараженный сайт также был заблокирован, а вторая уязвимость, несмотря на отсутствие идентификатора CVE, также была исправлена.
Lazarus давно известна своими атаками, основанными на уязвимостях нулевого дня, которые требуют значительных ресурсов. В этом случае группа использовала свой бэкдор Manuscrypt, применявшийся в более чем 50 предыдущих атаках на различные компании и учреждения по всему миру.
Эксперт «Лаборатории Касперского» Борис Ларин отметил, что на этот раз группа вышла за рамки обычных методов, использовав реальную игру в качестве прикрытия для распространения вредоносного ПО. Масштабная подготовка Lazarus свидетельствует о высоких амбициях группы и существенных рисках для пользователей и организаций по всему миру.