Một nhóm hacker Triều Tiên mang tên Lazarus đã tận dụng lỗ hổng zero-day trong trình duyệt Chrome của Google bằng cách sử dụng một trò chơi giả mạo dựa trên blockchain để cài đặt phần mềm gián điệp, đánh cắp thông tin ví điện tử. Các nhà phân tích của Kaspersky Labs đã phát hiện ra thủ đoạn này vào tháng 5 và báo cáo cho Google, sau đó đã khắc phục.
Chơi trong rủi ro lớn
Trò chơi chiến đấu trực tuyến đa người chơi, được quảng bá rộng rãi trên LinkedIn và X, có tên là DeTankZone hoặc DeTankWar, sử dụng Token không thể thay thế (NFT) làm xe tăng trong các cuộc thi toàn cầu. Ngay cả khi không tải trò chơi xuống, người dùng vẫn bị nhiễm từ trang web. Hacker đã mô phỏng trò chơi theo DeFiTankLand.
Những hacker này sử dụng phần mềm độc hại có tên Manuscrypt, kèm theo một lỗi “type confusion” chưa từng được biết đến trong công cụ V8 JavaScript. Đây là lỗ hổng zero-day thứ 7 được tìm thấy trong Chrome vào năm 2024 cho đến giữa tháng 5.
Boris Larin, chuyên gia an ninh hàng đầu của Kaspersky, cho biết:
“Nỗ lực đáng kể đầu tư vào chiến dịch này thể hiện rằng họ có kế hoạch đầy tham vọng, và tác động thực tế có thể rộng lớn hơn nhiều, ảnh hưởng tiềm tàng đến người dùng và doanh nghiệp toàn cầu.”
Trò chơi giả mạo này đã được Microsoft Security chú ý vào tháng 2. Trước khi Kaspersky có thể phân tích, tin tặc đã loại bỏ lỗ hổng khỏi website. Tuy nhiên, phòng thí nghiệm vẫn thông báo cho Google và lỗi đã được sửa chữa trước khi các hacker có thể tái sử dụng.
Ảnh chụp màn hình từ trò chơi giả của Lazarus Group. Nguồn: SecureList
Triều Tiên yêu thích Tiền Điện Tử
Lỗ hổng zero-day khiến nhà cung cấp bất ngờ và không có bản vá sẵn sàng. Vì vậy, Google mất 12 ngày để khắc phục lỗ hổng này. Một lỗ hổng zero-day khác trong Chrome đã bị một nhóm hacker Triều Tiên khác khai thác để nhắm vào các chủ sở hữu Tiền Điện Tử đầu năm nay.
Nhóm Lazarus đặc biệt yêu thích Tiền Điện Tử. Từ năm 2020 đến 2023, nhóm này đã rửa Tiền Điện Tử trị giá hơn 200 triệu USD từ 25 vụ tấn công, theo dõi từ chuyên gia tội phạm Tiền Điện Tử ZachXBT.
Bộ Tài chính Hoa Kỳ cũng cáo buộc nhóm Lazarus đứng sau vụ tấn công Ronin Bridge, thu lợi hơn 600 triệu USD Tiền Điện Tử vào năm 2022.
Công ty an ninh mạng Hoa Kỳ Recorded Future phát hiện rằng các hacker Triều Tiên đã đánh cắp hơn 3 tỷ USD Tiền Điện Tử từ năm 2017 đến 2023.
