Lazarus Group explora vulnerabilidade do Google Chrome para controlar dispositivos infectados
O Lazarus Group, um conhecido grupo de ameaças cibernéticas norte-coreano, foi recentemente associado à exploração de uma vulnerabilidade zero-day do Google Chrome, agora corrigida, para obter controle total sobre dispositivos infectados. A descoberta foi feita pela empresa de segurança Kaspersky, que encontrou uma cadeia de ataques inovadora em maio de 2024, comprometendo o computador pessoal de um cidadão russo através de um backdoor chamado Manuscrypt.
A campanha maliciosa do Lazarus Group
A campanha de ataques, que teve início em fevereiro de 2024, envolvia um site de jogo falso, o “detankzone[.]com”, projetado para atrair indivíduos do setor de criptomoedas. Esse site, à primeira vista, parecia uma página de produto profissional, promovendo um jogo de batalha online baseado em tokens não fungíveis (NFTs) com temática de tanques e que operava em finanças descentralizadas (DeFi). O site convidava os usuários a baixarem uma versão de teste do jogo, mas na verdade escondia um script malicioso que explorava uma vulnerabilidade zero-day no Chrome. Ao visitar o site os usuários sem saber davam acesso total aos atacantes para controlar seus dispositivos.
A vulnerabilidade explorada, conhecida como CVE-2024-4947 é um bug de confusão de tipo no motor JavaScript e WebAssembly V8 do Chrome. A Google corrigiu essa falha em maio de 2024. A técnica de esconder o malware em um jogo de tanques lembra práticas atribuídas a outro grupo de atividade cibernética norte-coreano chamado Moonstone Sleet, que também usa jogos maliciosos para atingir seus alvos.
O modo de operação utiliza engenharia social e exploração de vulnerabilidades
Os ataques do Lazarus Group envolveram estratégias avançadas de engenharia social para enganar suas vítimas, abordando alvos em plataformas de mensagens e e-mails e se passando por empresas de blockchain ou desenvolvedores de jogos em busca de investimentos. A Kaspersky destacou que a campanha é composta por várias etapas e explorações, entre elas:
-
Exploração do CVE-2024-4947: Essa vulnerabilidade concedeu aos invasores acesso de leitura e gravação ao espaço de endereço do processo do Chrome diretamente a partir do JavaScript.
-
Bypass da Sandbox do V8: Uma segunda vulnerabilidade explorada permitia que os atacantes acessassem a memória fora dos limites do array de registros da máquina virtual, evitando a sandbox do V8. Esse problema foi corrigido pela Google em março de 2024 após um relatório de bug submetido em 20 de março. Ainda não se sabe se o Lazarus descobriu e explorou essa vulnerabilidade antes da correção ou se a utilizou após sua divulgação.
Após a exploração bem-sucedida dessas vulnerabilidades, os atacantes rodavam um validador em forma de shellcode, responsável por coletar informações do sistema para verificar se o dispositivo infectado continha dados valiosos. O payload final do ataque, no entanto permanece desconhecido.
Construção de presença online e manipulação de redes sociais
Além do uso de vulnerabilidades técnicas, o Lazarus Group demonstrou habilidade em construir uma presença online e realizar campanhas complexas de engenharia social. Segundo a Kaspersky, os atacantes mantiveram atividade constante em plataformas como X (anteriormente Twitter) e LinkedIn, onde postavam regularmente conteúdos de divulgação de seu jogo falso. Para isso, usaram contas múltiplas e produziram conteúdo com auxílio de inteligência artificial generativa e designers gráficos, dando um ar de legitimidade à campanha.
Essa estratégia visava atrair influenciadores e figuras de destaque no espaço das criptomoedas para promover o site malicioso e atrair mais vítimas. Além disso, o site também oferecia um arquivo ZIP (“detankzone.zip”), que ao ser executado, funcionava como um jogo real, exigindo registro do jogador, mas escondendo um loader personalizado chamado YouieLoad, conforme detalhado pela Microsoft em investigações anteriores.
Suspeita de roubo de código-fonte
Para construir o jogo malicioso, o Lazarus Group pode ter roubado o código-fonte de um jogo legítimo, chamado DeFiTankLand (DFTL). Em março de 2024, o DeFiTankLand sofreu um ataque que resultou no roubo de aproximadamente $20.000 em moedas DFTL2. Embora os desenvolvedores tenham inicialmente culpado um insider pelo ataque, a Kaspersky acredita que o Lazarus Group pode estar envolvido, usando o código-fonte roubado para desenvolver seu próprio jogo fraudulento e alcançar seus objetivos maliciosos.
A evolução das táticas do Lazarus Group
A Kaspersky enfatizou que o Lazarus Group é um dos atores de ameaças persistentes avançadas (APT) mais sofisticados e ativos na atualidade, com um foco constante em obter ganhos financeiros. A equipe de pesquisa notou que as táticas do grupo evoluem rapidamente, e que eles têm explorado o uso de IA generativa para criar campanhas de engenharia social cada vez mais convincentes.
Conclusão
O ataque recente revela a combinação de técnicas avançadas e a persistência do Lazarus Group, que busca evoluir constantemente suas estratégias para maximizar o impacto. A exploração de vulnerabilidades zero-day e a utilização de técnicas de engenharia social sofisticadas mostram como grupos de ameaças cibernéticas estão se adaptando e utilizando novos recursos para comprometer dispositivos e roubar informações.
Para os usuários, especialmente aqueles envolvidos no setor de criptomoedas e blockchain é essencial tomar medidas de segurança, como manter os softwares sempre atualizados e utilizar navegadores e sistemas de segurança avançados. A vigilância e a educação sobre as ameaças são fundamentais para evitar cair em campanhas maliciosas como as promovidas pelo Lazarus Group.
Fonte e imagens: https://thehackernews.com/2024/10/lazarus-group-exploits-google-chrome.html