Nhóm tin tặc Lazarus sử dụng lỗ hổng bảo mật zero-day trên Chrome để tấn công người dùng tiền điện tử thông qua một trang web giả mạo trò chơi điện tử.
Tại Hội nghị Phân tích An ninh mạng (SAS) 2024 ở Bali, nhóm GReAT từ Kaspersky đã tiết lộ một chiến dịch tấn công APT (Advanced Persistent Threat) của nhóm Lazarus nhắm vào các nhà đầu tư tiền điện tử toàn cầu. Theo Kaspersky, Lazarus tạo ra một trang web giả mạo về một trò chơi tiền điện tử (cryptogame) nhằm dụ dỗ người dùng. Trang web này khai thác lỗ hổng bảo mật trên Google Chrome, từ đó cho phép cài phần mềm gián điệp và đánh cắp dữ liệu tài chính.
Trong đợt kiểm tra vào tháng 5/2024, Kaspersky đã phát hiện mã độc Manuscrypt do nhóm Lazarus sử dụng từ năm 2013. Lazarus kết hợp kỹ thuật tấn công phi kỹ thuật (social engineering) và công nghệ AI tạo sinh để lừa đảo các nhà đầu tư, sử dụng mã độc Manuscrypt để chiếm đoạt thông tin và tài sản số. Nhóm này đã khai thác một lỗ hổng nghiêm trọng với mã CVE-2024-4947 trong JavaScript và WebAssembly V8 của Chrome, cho phép phát tán mã độc và vượt qua các lớp bảo mật của trình duyệt.
Ngay khi phát hiện, Google đã vá lỗ hổng này, nhưng Lazarus còn khai thác một lỗ hổng khác nhằm vô hiệu hóa V8 Sandbox, tăng cường tính phức tạp của cuộc tấn công. Lazarus đã dàn dựng một trò chơi giả mạo tên NFT Tanks, thiết lập các tài khoản mạng xã hội để quảng bá trò chơi trong nhiều tháng và sử dụng AI để tạo hình ảnh chân thực nhằm tăng tính thuyết phục. Nhóm cũng hợp tác với các người có tầm ảnh hưởng để mở rộng phạm vi tấn công, nhắm đến tài khoản tiền điện tử của các cá nhân nổi tiếng.
Boris Larin, Trưởng nhóm Nghiên cứu của Kaspersky GReAT, cảnh báo: “Lazarus đang sử dụng các hình thức tấn công mới, từ việc lợi dụng trò chơi đến khai thác lỗ hổng zero-day. Đây là một chiến dịch phức tạp và có tính hệ thống cao, ảnh hưởng lớn đến cá nhân và doanh nghiệp.”
Kaspersky ghi nhận trò chơi giả mạo đã khiến nhà phát triển mất 20.000 USD. Lazarus tạo bản sao giống gần như tuyệt đối với phiên bản gốc chỉ khác logo và chất lượng hình ảnh, dẫn dụ người dùng dễ dàng rơi vào bẫy.