Kaspersky ha scoperto una campagna di attacco condotta da Lazarus che sfrutta una vulnerabilità zero-day in Chrome con obiettivo di rubare criptovalute a livello globale. Gli aggressori hanno utilizzato un sito web fake, apparentemente dedicato alle criptovalute, sfruttando una vulnerabilità zero-day di Google Chrome per installare spyware e sottrarre le credenziali dai portafogli digitali. I risultati di questa ricercar, svolta dal Global Research and Analysis Team (GReAT) di Kaspersky, sono stati presentati durante il Security Analyst Summit 2024 a Bali.
Rubare criptovalute: un malware già utilizzato
Nel maggio 2024, nel corso dell’analisi degli incidenti registrati dalla telemetria di Kaspersky Security Network, gli esperti Kaspersky hanno rilevato un attacco che sfruttava il malware Manuscrypt. Il malware è stato usato dal gruppo Lazarus fin dal 2013 e già documentato da Kaspersky in più di 50 campagne mirate a diversi settori. Le ulteriori analisi hanno rivelato una campagna particolarmente complessa, caratterizzata da un ampio uso di tecniche di social engineering e Gen AI per colpire gli investitori di criptovalute.
Due vulnerabilità
Il gruppo Lazarus è noto per i suoi attacchi avanzati contro piattaforme di criptovalute, spesso utilizzando exploit zero-day. Anche in questo caso, la campagna ha seguito uno schema simile. I ricercatori di Kaspersky hanno identificato due vulnerabilità, tra cui un type confusion bug sconosciuto in V8, l’engine open-source di Google per JavaScript e WebAssembly. Questa vulnerabilità zero-day è stata risolta come CVE-2024-4947 dopo essere stata segnalata da Kaspersky a Google. Consentiva agli aggressori di eseguire un codice arbitrario, bypassare le funzioni di sicurezza e condurre varie attività dannose. Un’altra vulnerabilità è stata utilizzata per aggirare la protezione V8 sandbox di Google Chrome.
Una campagna per rubare criptovalute
Gli aggressori hanno diffuso il malware attraverso un sito web di gaming falso, progettato per sembrare legittimo, che invitava gli utenti a sfidarsi a livello mondiale con carri armati NFT. Per massimizzare l’efficacia dell’attacco, hanno creato un senso di fiducia, studiando i dettagli per far apparire le campagne promozionali il più autentiche possibile. Questo includeva la creazione di account su piattaforme social come X (ex Twitter) e LinkedIn, promuovendo il gioco per diversi mesi e utilizzando immagini generate dall’intelligenza artificiale per accrescere la credibilità.
L’uso “malevolo” dell’intelligenza artificiale
Lazarus ha integrato con successo l’uso della Gen AI nelle sue operazioni. E gli esperti di Kaspersky prevedono che, in futuro, questa tecnologia verrà sfruttata per attacchi ancora più complessi. Inoltre, gli aggressori hanno tentato di coinvolgere influencer del settore delle criptovalute per promuovere ulteriormente il videogame. Sfruttando così la loro visibilità sui social media non solo per diffondere il malware, ma anche per prendere di mira direttamente i loro conti di criptovalute.
Un videogame come copertura
Boris Larin, Principal Security Expert di Kaspersky GReAT
Sebbene gli attori APT abbiano già in passato perseguito obiettivi finanziari, questa campagna si distingue per la sua unicità. Gli aggressori non si sono limitati a tecniche comuni, ma hanno utilizzato un videogame completamente funzionante come copertura per sfruttare una vulnerabilità zero-day di Google Chrome e infettare i sistemi delle vittime.Con gruppi come Lazarus, anche azioni apparentemente innocue come cliccare su un link sui social o una e-mail, possono portare alla compromissione di un computer o di un’intera rete aziendale. L’enorme impegno investito fa pensare che gli obiettivi siano ambiziosi e che l’impatto possa essere molto più ampio, potenzialmente colpendo utenti e aziende in tutto il mondo.
Una campagna globale firmata Lazarus per rubare criptovalute
Gli esperti Kaspersky hanno scoperto che gli aggressori avevano creato una versione fasulla di un gioco legittimo, che sembrava essere una copia quasi perfetta dell’originale. Poco dopo l’inizio della campagna, gli sviluppatori del game autentico hanno dichiarato che 20.000 dollari in criptovaluta erano stati sottratti dai loro portafogli. Logo e design del gioco falso erano quasi identici all’originale, con minime differenze nel posizionamento del logo e nella qualità visiva. Questi dettagli, insieme a sovrapposizioni nel codice, dimostrano quanto Lazarus si sia impegnato a rendere credibile l’attacco. Il gruppo ha utilizzato il codice sorgente rubato dal gioco originale, sostituendo loghi e riferimenti, per aumentare il senso di autenticità.