Table of Contents
Introdução ao Ataque do Grupo Lazarus
O notório Grupo Lazarus da Coreia do Norte está utilizando um bem elaborado site falso de jogos, uma falha zero-day do Chrome que foi corrigida, contas profissionais no LinkedIn, imagens geradas por IA e outros truques para tentar roubar usuários de criptomoedas em todo o mundo.
Esse grupo parece ter iniciado sua campanha elaborada em fevereiro, utilizando múltiplas contas na plataforma X e enganando figuras influentes no espaço das criptomoedas para promover seu site de jogos infeccionado por malware.
Campanha Elaborada
“Ao longo dos anos, descobrimos muitos ataques do Lazarus na indústria de criptomoedas, e uma coisa é certa: esses ataques não desaparecerão,” disseram pesquisadores da Kaspersky, após descobrir a mais recente campanha enquanto investigavam uma infecção de malware. “O Lazarus já começou a usar IA generativa com sucesso, e prevemos que eles desenvolverão ataques ainda mais elaborados utilizando-a,” observou a empresa de segurança.
Embora o grupo patrocinado pelo estado não seja um nome reconhecível ainda, é facilmente um dos atores cibernéticos mais prolíficos e perigosos em operação. Desde que ganhou destaque com um ataque à Sony Pictures em 2014, o Lazarus — e subgrupos como Andariel e Bluenoroff — tem estado envolvidos em inúmeros incidentes de segurança notórios, incluindo:
- O surto de ransomware WannaCry.
- O roubo de $81 milhões no Banco de Bangladesh.
- Tentativas de roubar segredos relacionados a vacinas contra COVID de grandes empresas farmacêuticas durante o auge da pandemia.
Analistas acreditam que muitos dos ataques financeiramente motivados do grupo, incluindo ransomware, skimming de cartões e ataques a usuários de criptomoedas, são realmente tentativas de gerar receita para o programa de mísseis do governo norte-coreano, que está em crise financeira.
Na mais recente campanha, o grupo parece ter refinado alguns dos truques de engenharia social empregados em campanhas anteriores. O foco do novo golpe está em detankzone.com, uma página de produto profissionalmente projetada que convida os visitantes a baixar um jogo multijogador online baseado em NFT.
Pesquisadores da Kaspersky descobriram que o jogo era bem projetado e funcional, mas apenas porque os atores do Lazarus haviam roubado o código-fonte de um jogo legítimo para construí-lo.
Uma Falha Zero-Day do Chrome e um Segundo Bug
A Kaspersky encontrou o site contendo código de exploração para duas vulnerabilidades do Chrome. Uma delas, rastreada como CVE-2024-4947, era um bug zero-day desconhecido anteriormente no mecanismo do navegador V8 do Chrome. Ele permitiu que os atacantes executassem código arbitrário dentro de uma sandbox do navegador através de uma página HTML especialmente criada. O Google abordou a vulnerabilidade em maio após a Kaspersky reportar a falha à empresa.
A outra vulnerabilidade do Chrome que a Kaspersky observou no mais recente exploit do Lazarus Group não parece ter um identificador formal. Ela concedeu aos atacantes uma maneira de escapar completamente da sandbox do V8 do Chrome e ter acesso total ao sistema. O ator da ameaça utilizou esse acesso para implantar um código de shell para coletar informações sobre o sistema comprometido antes de decidir se implantar novos payloads maliciosos no sistema comprometido, incluindo uma backdoor chamada Manuscrypt.
O que torna a campanha notável é o esforço que os atores do Lazarus Group parecem ter empregado em seu ângulo de engenharia social. “Eles se concentraram em construir um senso de confiança para maximizar a eficácia da campanha, projetando detalhes para fazer as atividades promocionais parecerem o mais genuínas possível,” escreveram os pesquisadores da Kaspersky, Boris Larin e Vasily Berdnikov. Eles usaram múltiplas contas falsas para promover seu site via X e LinkedIn, juntamente com conteúdo e imagens geradas por IA para criar uma ilusão de autenticidade em torno de seu site de jogo falso.
“Os atacantes também tentaram envolver influenciadores de criptomoedas para promover ainda mais, aproveitando sua presença nas redes sociais não apenas para disseminar a ameaça, mas também para direcionar seus contas de criptomoedas diretamente,” escreveram Larin e Berdnikov.
#Lazarus #Malware #Cibersegurança #Criptomoedas #Hackers #ZeroDay #IA #EngenhariaSocial