Эксперты Kaspersky GReAT (Глобального центра исследования и анализа угроз «Лаборатории Касперского») обнаружили сложную кампанию группы Lazarus. Об этом они сообщили на Security Analyst Summit 2024 на Бали. Для атак на пользователей по всему миру злоумышленники создали вредоносный сайт для онлайн-игры в танки, в которой якобы можно получать награды в криптовалюте. С его помощью они эксплуатировали уязвимость нулевого дня в браузере Google Chrome, позволяющую заражать устройства и красть учётные данные криптокошельков. Сейчас эта уязвимость устранена, а сайт игры заблокирован.  

Что указывает на Lazarus. В мае 2024 года эксперты «Лаборатории Касперского» обнаружили атаку, в ходе которой использовался бэкдор Manuscrypt. Это инструмент, характерный для группы Lazarus с 2013 года. По данным Kaspersky GReAT, он применялся более чем в 50 уникальных кампаниях, нацеленных на организации из разных отраслей. В ходе дальнейшего анализа выяснилось, что этому предшествовала эксплуатация браузера Google Chrome, что и позволило выявить данную кампанию. Lazarus — одна из немногих кибергрупп, которая использует уязвимости нулевого дня. Этот метод не распространён среди атакующих, поскольку требует много ресурсов, в том числе времени и знаний.  

Что за игра. На сайте пользователям предлагали скачать пробную версию игры, в основе которой лежит модель Play-To-Earn («Играй, чтобы зарабатывать»). Суть игры заключалась в сражениях на виртуальных NFT-танках с соперниками по всему миру, в ней якобы можно было получать выигрыш в криптовалюте. Игру действительно можно было запустить, проверили эксперты «Лаборатории Касперского».

Чтобы привлечь жертв и вызвать у них доверие, атакующие тщательно продумали кампанию по её продвижению, например создали аккаунты в международных соцсетях, где рекламировали её на протяжении нескольких месяцев. При этом они использовали изображения, нарисованные с помощью нейросетей. Также злоумышленники пытались привлечь для рекламы своей игры инфлюенсеров из сферы криптовалют, предположительно затем предпринимались попытки атаковать и их аккаунты.

Эксперты Kaspersky GReAT нашли реальную игру, которая, по всей видимости, послужила прототипом для версии, созданной злоумышленниками. Практически полностью повторяется дизайн: отличия лишь в расположении логотипа и более низком качестве визуального оформления. За основу, вероятно, был взят украденный исходный код, атакующие лишь заменили логотипы и убрали все отсылки к реальной игре. Вскоре после того как злоумышленники запустили кампанию по продвижению вредоносной игры, разработчики прототипа заявили, что с их кошелька было украдено 20 тысяч долларов США в криптовалюте.

Для чего она нужна. Игра была лишь прикрытием для злоумышленников. Сайт содержал небольшой фрагмент кода, который позволял загрузить и выполнить эксплойт для браузера Google Chrome. Для этого использовались две уязвимости. Об одной из них ранее не было известно — это ошибка несоответствия используемых типов данных в движке V8 от Google на открытом исходном коде JavaScript и WebAssembly. Она позволяла получить контроль над устройством жертвы: выполнять произвольный код, обходить функции безопасности и осуществлять различную вредоносную активность. Чтобы заразить устройство, достаточно было зайти на сайт, даже не нужно было начать игру. «Лаборатория Касперского» сообщила об уязвимости Google, после чего компания её устранила. Она получила идентификатор CVE-2024-4947. Ещё одну уязвимость атакующие использовали для обхода защитного механизма Google Chrome, который называется песочница V8.