El grupo norcoreano Lazarus creó el juego NFT para explotar a los usuarios de Chrome
El grupo Lazarus de Corea del Norte creó un juego basado en blockchain para explotar una vulnerabilidad en el navegador Chrome de Google, instalar spyware y robar las credenciales de las carteras de criptomonedas, junto con otros datos de los usuarios.
En un informe del 23 de octubre, los analistas de la firma de ciberseguridad Kaspersky Labs, Vasily Berdnikov y Boris Larin, dijeron que encontraron la explotación del grupo Lazarus en mayo y la reportaron a Google, que desde entonces ha corregido el problema.
Según Berdnikov y Larin, los hackers del grupo Lazarus utilizaron el juego para engañar a los usuarios hacia un sitio web malicioso e infectar computadoras con su malware Manuscript, que han estado usando desde al menos 2013.
El código permitió a los hackers corromper la memoria de Chrome, dándoles eventualmente acceso a las cookies de los usuarios, tokens de autenticación, contraseñas guardadas e historial de navegación, todo lo que necesitaban para robar fondos de los usuarios.
Otro problema con el mecanismo de seguridad Javascript, la sandbox V8, permitió a Lazarus acceder a las PC para investigar si valía la pena continuar un ciberataque.
“Pudimos extraer la primera etapa del ataque: un exploit que realiza ejecución remota de código en el proceso de Google Chrome”, dijeron Berdnikov y Larin.
“Después de confirmar que el exploit se basaba en una vulnerabilidad de día cero que afectaba a la última versión de Google Chrome, informamos nuestros hallazgos a Google el mismo día”.
Dos días después de que Google se enterara del exploit, lanzó un parche actualizado para resolver el problema.
Código fuente robado utilizado para crear el juego
El juego en sí, DeTankZone o DeTankWar, era un juego multijugador en línea de batalla para ganar completamente jugable, con tanques de tokens no fungibles (NFT). Los jugadores podían enfrentarse entre sí en una competencia en línea.
Berdnikov y Larin dijeron que Lazarus robó el código fuente de otro juego legítimo y promocionó la versión pirateada intensamente en las redes sociales.
El juego falso tenía un sitio web y imágenes promocionales generadas utilizando inteligencia artificial.
“En la superficie, este sitio web parecía una página de producto diseñada profesionalmente para un juego de tanque en línea multijugador (MOBA) basado en NFT (token no fungible) de finanzas descentralizadas (DeFi), invitando a los usuarios a descargar una versión de prueba,” dijeron Berdnikov y Larin.
“Pero eso era solo una disfraz. En el fondo, este sitio web tenía un script oculto que se ejecutaba en el navegador Google Chrome del usuario, lanzando un exploit de día cero y dando a los atacantes control total sobre la PC de la víctima.”
Microsoft Security también destacó el juego en una publicación de mayo en X, señalando que el juego malicioso DeTankWar estaba entregando un nuevo ransomware personalizado que Microsoft llamó FakePenny.
“Microsoft ha identificado a un nuevo actor de amenazas norcoreano, Moonstone Sleet (Storm-1789), que combina muchas técnicas probadas y verdaderas utilizadas por otros actores de amenazas norcoreanos con metodologías de ataque únicas para objetivos financieros y de ciberespionaje,” dijo Microsoft Security.
“Se ha observado que Moonstone Sleet establece empresas falsas y oportunidades de trabajo para interactuar con posibles objetivos, emplea versiones trojanizadas de herramientas legítimas, crea un juego malicioso llamado DeTankWar y entrega un nuevo ransomware personalizado que Microsoft ha nombrado FakePenny.”
Pérdidas del grupo Lazarus estimadas en más de $3 mil millones
Lazarus se ha convertido, sin lugar a dudas, en el grupo de hackers de criptomonedas más notorio desde su aparición en 2009. La firma de ciberseguridad de Estados Unidos Recorded Future estimó en 2023 que los hackers norcoreanos robaron más de $3 mil millones en criptomonedas en los seis años previos a 2023.
Un informe de las Naciones Unidas también encontró que los hackers norcoreanos robaron una cantidad significativa de activos criptográficos en 2022, con estimaciones entre $630 millones y más de $1 mil millones, después de que los grupos comenzaran a apuntar a redes de empresas extranjeras de aeroespacial y defensa.
El detective de blockchain ZachXBT estima que Lazarus blanqueó más de $200 millones en criptomonedas de 25 hacks entre 2020 y 2023. En una publicación del 15 de agosto en X, también afirmó haber descubierto evidencia de una red sofisticada de desarrolladores norcoreanos que ganan $500,000 al mes trabajando para proyectos de criptomonedas “establecidos”.
Al mismo tiempo, el Departamento del Tesoro de EE. UU. también ha acusado a Lazarus de ser el principal culpable detrás del ataque de 2022 al Ronin Bridge, que neteó a los hackers más de $600 millones en criptomonedas.
Welcome to P2E GAME
Hearing the echoes from Metaverse.