Alertas de Seguridad

Lazarus APT aprovecha vulnerabilidad en Chrome

Para robar criptomonedas

[31/10/2024] El Equipo Global de Investigación y Análisis (GReAT) de Kaspersky descubrió una sofisticada campaña maliciosa del grupo Lazarus, dirigida a inversores en criptomonedas de todo el mundo. Según lo señalado en el comunicado de prensa, los atacantes utilizaron un sitio web falso de criptojuegos que aprovechó una vulnerabilidad de día cero en Google Chrome para instalar spyware y robar credenciales de billeteras.

En mayo del 2024, los expertos de Kaspersky, mientras analizan los incidentes dentro de la telemetría de Kaspersky Security Network, identificaron un ataque utilizando el malware Manuscrypt, que ha sido utilizado por el grupo Lazarus desde el 2013 y documentado por Kaspersky GReAT en más de 50 campañas únicas dirigidas a diversas industrias. Un análisis más detallado reveló una sofisticada campaña maliciosa que se basaba en gran medida en técnicas de ingeniería social y IA generativa para dirigirse a los inversores en criptomonedas.

"El grupo Lazarus es conocido por su alta ataques avanzados a plataformas de criptomonedas y tiene un historial de uso de exploits de día cero. Esta campaña recién descubierta siguió el mismo patrón: el actor de amenazas aprovechó dos vulnerabilidades, incluyendo un inédito error de confusión de tipos en V8, JavaScript de código abierto de Google y el motor WebAssembly motor. Esta vulnerabilidad de día cero se corrigió como CVE-2024-4947 después de que Kaspersky lo reportó a Google. Permitió a los atacantes ejecutar código arbitrario, eludir características de seguridad y llevar a cabo diversas actividades maliciosas. Otro La vulnerabilidad se utilizó para eludir la protección de la zona de pruebas V8 de Google Chrome, sostuvo Boris Larin, experto principal en seguridad de GReAT de Kaspersky.

El analista anotó que los atacantes explotaron esta vulnerabilidad a través de un sitio web de juegos falsos que invitaba a los usuarios a competir globalmente con tanques NFT. "Estaban enfocado en construir un sentido de confianza para maximizar la efectividad de la campaña, detalles de diseño para que las actividades promocionales parecieran tan genuinas como posible. Esto incluyó la creación de cuentas de redes sociales en X (anteriormente conocido como Twitter) y LinkedIn para promocionar el juego durante varios meses, utilizando imágenes generadas por IA para mejorar la credibilidad.

Larin añadió que los atacantes también intentaron involucrar a personas influyentes en criptomonedas para mayor promoción, aprovechando su presencia en las redes sociales no solo para distribuir la amenaza, sino también para dirigirse directamente a sus cuentas de criptomonedas.

Un sitio web falso de criptojuegos que aprovechó una vulnerabilidad de día cero para instalar spyware.

"Aunque ya hemos visto antes a actores de APT persiguiendo beneficios económicos, esta campaña era única. Los atacantes fueron más allá de las tácticas típicas al utilizar un juego completamente funcional como tapadera para explotar un zero-day de Google Chrome e infectar los sistemas objetivo. Con actores tan conocidos como Lazarus, incluso acciones aparentemente inocuas -como hacer clic en un enlace de una red social o en un correo electrónico- pueden comprometer por completo un ordenador personal o toda una red corporativa. El importante esfuerzo invertido en esta campaña sugiere que tenían planes ambiciosos, y el impacto real podría ser mucho más amplio, afectando potencialmente a usuarios y empresas de todo el mundo, comentó Larin.

Añadió que poco después de que los atacantes lanzaran la campaña de promoción de su juego, los desarrolladores del juego real afirmaron que se habían transferido 20 mil dólares en criptomoneda desde su monedero. "El logotipo y el diseño del juego falso eran muy parecidos a los del original, con la única diferencia de la colocación del logotipo y la calidad visual. Dadas estas similitudes y solapamientos en el código, subrayamos que los miembros de Lazarus hicieron todo lo posible para dar credibilidad a su ataque. Crearon un juego falso utilizando código fuente robado, sustituyendo logotipos y todas las referencias al juego legítimo para aumentar la ilusión de autenticidad en su versión casi idéntica, finalizó el analista.

Llegamos a ustedes gracias a:


BrandPosts Qué es BrandPost

Más »
×
Los artículos publicados en esta sección -BrandPosts- son escritos y editados por los proveedores o miembros de la comunidad TI. BrandPosts crea una oportunidad para que un patrocinador proporcione información y comentarios desde su punto de vista, directamente a la audiencia de CTOPerú. El equipo editorial de CTOPerú no participa en la redacción o edición de estos BrandPosts.

Primer contacto

Más »

Recursos

Más »