Lazarus lanza sofisticada campaña para robar criptomonedas a través de Chrome

El equipo de investigación y análisis global de Kaspersky (GReAT) reveló una sofisticada campaña de ciberataque del grupo Lazarus, un grupo de amenaza persistente avanzada (APT) conocido por sus ataques a plataformas de criptomonedas. Según el equipo de Kaspersky, el ataque estaba diseñado para atraer a inversores de criptomonedas mediante un sitio web falso de un criptojuego, aprovechando una vulnerabilidad de día cero en Google Chrome para instalar spyware y robar credenciales de billeteras digitales.

Los estudios de esta campaña comenzaron en mayo de 2024, cuando los expertos de Kaspersky identificaron un ataque que utilizaba el malware Manuscrypt, una herramienta empleada por Lazarus desde 2013 en más de 50 campañas. En este caso, Lazarus integró técnicas de ingeniería social y avanzadas herramientas de inteligencia artificial generativa. Los atacantes crearon un sitio web que invitaba a usuarios a competir globalmente con tanques NFT en un juego falso, con detalles que simulaban legitimidad, incluyendo cuentas en redes sociales como X y LinkedIn y el uso de imágenes generadas por IA.

En este sentido, Lazarus explotó dos vulnerabilidades en el navegador Chrome, incluyendo un error de confusión de tipos en el motor V8, identificado como CVE-2024-4947. Esta falla de día cero permitía ejecutar código arbitrario y eludir la seguridad del navegador. Además, se descubrió una segunda vulnerabilidad que permitía evadir el sandbox de V8, aumentando las capacidades maliciosas de los atacantes. "Los atacantes fueron más allá de las tácticas habituales al usar un juego completamente funcional como fachada para explotar una vulnerabilidad de día cero en Google Chrome e infectar los sistemas objetivo ", comentó a NotiPress el experto principal en seguridad de Kaspersky, Boris Larin, subrayando el esfuerzo significativo invertido en la campaña y su potencial impacto global.

"Con actores notorios como Lazarus, incluso acciones aparentemente inofensivas, como hacer clic en un enlace en una red social o en un correo electrónico, pueden resultar en el compromiso total de una computadora personal o una red corporativa completa", sostuvo Larin.

Para fortalecer la ilusión de autenticidad, Lazarus clonó un juego legítimo, alterando detalles visuales y utilizando código fuente robado. Tras el lanzamiento de la campaña de promoción, los desarrolladores del juego original reportaron la transferencia de $20,000 dólares en criptomonedas desde su cuenta. El diseño del juego falso era sumamente parecido al original, diferenciándose solo en la ubicación del logotipo y la calidad visual.

Dadas estas similitudes y las coincidencias en el código, los expertos de Kaspersky enfatizan que los miembros de Lazarus hicieron grandes esfuerzos para dar credibilidad a su ataque. El informe completo que detalla los movimientos de este ataque fue presentado en la reciente cumbre de analistas de seguridad en Bali y está disponible para consulta en Securelist.com.