Table of Contents
A Ameaça do Grupo Lazarus e a Exploração de Zero-Day no Google Chrome
O ator de ameaças da Coreia do Norte conhecido como Grupo Lazarus foi atribuído à exploração de uma falha de segurança zero-day no Google Chrome, que agora foi corrigida, para tomar controle de dispositivos infectados. O fornecedor de segurança cibernética Kaspersky revelou em maio de 2024 a descoberta de uma nova cadeia de ataques que visavam o computador pessoal de um nacional russo não identificado, utilizando o backdoor Manuscrypt.
Descrição da Campanha Maliciosa
O ataque é desencadeado simplesmente ao visitar um site de jogos falso, denominado detankzone[.]com, direcionado a indivíduos do setor de criptomoedas. A campanha é estimada para ter começado em fevereiro de 2024. Conforme relatado pelos pesquisadores da Kaspersky, Boris Larin e Vasily Berdnikov:
“Na superfície, este site assemelhava-se a uma página de produto projetada profissionalmente para um jogo multiplayer online baseado em NFT. O site convidava os usuários a baixar uma versão de teste.”
No entanto, essa fachada esconde uma script prejudicial que opera no navegador Google Chrome do usuário, ativando a exploração zero-day e conferindo aos atacantes controle total sobre o computador da vítima.
A Vulnerabilidade em Questão
A vulnerabilidade em questão, identificada como CVE-2024-4947, é um bug de confusão de tipo no engine JavaScript e WebAssembly V8 do Google, que foi corrigido em meados de maio de 2024. Este exploit é notável por conter código para duas vulnerabilidades distintas:
- A primeira permite que os atacantes obtenham acesso de leitura e gravação a todo o espaço de endereço do processo Chrome a partir do JavaScript (CVE-2024-4947).
- A segunda vulnerabilidade é utilizada para contornar o sandbox V8.
“A [segunda] vulnerabilidade é que a máquina virtual possui um número fixo de registradores e um array dedicado para armazená-los, mas os índices dos registradores são decodificados a partir dos corpos das instruções e não são verificados,” explicaram os pesquisadores.
Técnicas de Engenharia Social
As táticas empregadas pelos atacantes incluem o uso de jogos maliciosos como meio para distribuir malware, uma estratégia que a Microsoft atribuiu a outro grupo de ameaças da Coreia do Norte conhecido como Moonstone Sleet. A abordagem aos alvos potenciais geralmente ocorre por meio de plataformas de email ou mensagens, enganando-os para instalar o jogo ao se passarem por uma empresa de blockchain ou um desenvolvedor de jogos que busca oportunidades de investimento.
As descobertas mais recentes da Kaspersky acrescentam mais um elemento ao quebra-cabeças dos ataques, ressaltando o papel desempenhado pela exploração do navegador zero-day na campanha.
Atividades e Motivação dos Atores de Ameaça
A exploração bem-sucedida culmina na execução de um validador que assume a forma de código shell responsável pela coleta de informações do sistema, necessárias para determinar se o dispositivo é valioso o suficiente para ações de pós-exploração adicionais. O payload exato entregue após essa fase ainda é desconhecido.
“O que nunca deixa de nos impressionar é o quanto de esforço o Lazarus APT investe em suas campanhas de engenharia social,” afirmou a Kaspersky, destacando o padrão de contato do ator de ameaças com figuras influentes no espaço das criptomoedas.
O grupo também esteve ativo em redes sociais como X (anteriormente Twitter) e LinkedIn, promovendo seu jogo utilizando conteúdo gerado por inteligência artificial e designers gráficos.
Implicações Finais
O website malicioso é projetado para seduzir visitantes a baixar um arquivo ZIP (“detankzone.zip”) que, uma vez executado, apresenta-se como um jogo completamente funcional que requer registro do jogador, mas que também contém código para lançar um carregador personalizado chamado YouieLoad. Além disso, suspeita-se que o Grupo Lazarus tenha roubado o código fonte do jogo de um jogo legítimo de blockchain chamado DeFiTankLand, que sofreu um hack em março de 2024.
Embora os desenvolvedores do projeto tenham culpado um insider pelo vazamento, a Kaspersky suspeita que o Grupo Lazarus estava por trás do incidente, tendo roubado tanto o código-fonte do jogo quanto as moedas DFTL2, usando esses recursos para avançar em seus objetivos. Assim, podemos concluir que o Lazarus é um dos atores APT mais ativos e sofisticados, e o ganho financeiro continua sendo uma de suas principais motivações.
Baseando-se na evolução de suas táticas, Kaspersky prevê que o grupo desenvolverá ataques ainda mais elaborados utilizando inteligência artificial.
#Lazarus, #Cibersegurança, #ZeroDay, #GoogleChrome, #Malware, #EngenhariaSocial, #AtaquesCibernéticos, #Kaspersky, #Criptomoedas