Han surgido informes de que malos actores supuestamente vinculados al Grupo Lazarus de Corea del Norte ejecutaron un ciberataque complejo que utilizó un juego falso basado en NFT para explotar una vulnerabilidad de día cero en Google Chrome.
Según el informe, la vulnerabilidad finalmente permitió a los atacantes acceder a las billeteras criptográficas de las personas.
Explotando el defecto de día cero de Chrome
Los analistas de seguridad de Kaspersky Labs Boris Larin y Vasily Berdnikov escribió que los perpetradores clonaron un juego blockchain llamado DeTankZone y lo promocionaron como un campo de batalla en línea multijugador (MOBA) con elementos de jugar para ganar (P2E).
Según los expertos, luego insertaron un código malicioso en el sitio web del juego, detankzone.[.]com, infectando dispositivos que interactuaron con él, incluso sin ninguna descarga.
El script aprovechó un error crítico en el motor JavaScript V8 de Chrome, lo que le permitió evitar las protecciones del sandbox y permitir la ejecución remota de código. Esta vulnerabilidad permitió a los presuntos actores norcoreanos instalar un malware avanzado llamado Manuscrypt, que les dio control sobre los sistemas de las víctimas.
Kaspersky informó la falla a Google al descubrirla. El gigante tecnológico abordó el problema con una actualización de seguridad días después. Sin embargo, los piratas informáticos ya lo habían aprovechado, lo que sugiere un impacto más amplio en los usuarios y empresas globales.
Lo que Larin y su equipo de seguridad en Kaspersky encontraron interesante fue cómo los atacantes adoptaron extensas tácticas de ingeniería social. Promovieron el juego contaminado en X y LinkedIn al involucrar a conocidos criptoinfluencers para que distribuyeran material de marketing generado por IA.
La elaborada configuración también incluía sitios web creados profesionalmente y cuentas premium de LinkedIn, lo que ayudó a crear una ilusión de legitimidad que atrajo al juego a jugadores desprevenidos.
Las actividades criptográficas del grupo Lazarus
Sorprendentemente, el juego NFT no era sólo un caparazón; era completamente funcional, con elementos de juego como logotipos, pantallas frontales y modelos 3D.
Sin embargo, a cualquiera que visitara el sitio web plagado de malware del título P2E se le recopiló información confidencial, incluidas las credenciales de la billetera, lo que permitió a Lazarus ejecutar robos de criptomonedas a gran escala.
El grupo ha demostrado un interés sostenido en las criptomonedas a lo largo de los años. En abril, el investigador en cadena ZachXBT los conectó con más de 25 hacks de criptomonedas entre 2020 y 2023, que les reportaron más de 200 millones de dólares.
Además, el Departamento del Tesoro de EE. UU. ha vinculado a Lazarus con el infame hackeo del Puente Ronin de 2022, en el que supuestamente robaron más de 600 millones de dólares en ether (ETH) y USD Coin (USDC).
Los datos recopilados por la empresa matriz de 21Shares, 21.co, en septiembre de 2023 revelaron que el grupo criminal poseía más de 47 millones de dólares en una variedad de criptomonedas, incluidas Bitcoin (BTC), Binance Coin (BNB), Avalanche (AVAX) y Polygon (MATIC).
En total, se dice que robaron activos digitales por valor de más de 3 mil millones de dólares entre 2017 y 2023.
Binance Free $600 (exclusivo de CryptoPotato): use este enlace para registrar una nueva cuenta y reciba una oferta de bienvenida exclusiva de $600 en Binance (detalles completos).
OFERTA LIMITADA 2024 en BYDFi Exchange: ¡Recompensa de bienvenida de hasta $2,888, use este enlace para registrarse y abrir una posición de 100 USDT-M gratis!