频频搞事的北韩骇客组织Lazarus Group 先前就已窃取印度交易所WazirX近2.3 亿美元,接连又有几桩窃取加密资产等相关案件,而这次Lazarus 将魔手伸向区块链游戏。
Lazarus 先创建一款假的链上游戏,再利用Google Chrome 的漏洞植入间谍软体,成功窃取用户的加密钱包凭证。电脑安全公司Kaspersky 在今年5 月发现此问题后已向Google 报告,目前已修补漏洞。
假链上游戏暗藏风险
Lazarus 推出了一款名为「DeTankZone」或「DeTankWar」的假链上游戏,玩家可以使用NFT 作为战车与全球玩家比赛。
Source : 网路安全公司卡巴斯基(Kaspersky)
Lazarus 模仿现有的链上游戏「DeFiTankLand」,成功诱骗众多用户来下载,进而利用Google Chrome 的漏洞来植入恶意软体,窃取用户的加密货币钱包凭证。
真链上游戏:DeFiTankLand
Lazarus 还透过LinkedIn 和推特等社群大力宣传,还试图联系在加密领域有影响力的KOL,让他们推广他们的恶意网站。恐怖的是,即便玩家没有下载游戏,但只要浏览网站,电脑就可能被感染。
Source : 网路安全公司卡巴斯基(Kaspersky)
利用Chrome 漏洞植入恶意程式
Lazarus 透过一个名为「Manuscrypt」的恶意软体,再利用Chrome 浏览器中JavaScript V8 engine 的「型别混淆漏洞」(Type Confusion) 来攻击用户,这是Chrome 在2024 年5 月之前发现的第七个零日漏洞(zero-day vulnerability)。
卡巴斯基于Javascript 中找到的漏洞
什么是零日漏洞与零日攻击?
零日漏洞(zero-day vulnerability) 指的是一个还没被软体开发者或网路安全专家发现,而且已被攻击者利用的安全漏洞。
由于开发者还没来得及修补这个漏洞,攻击者可以在「零日」的情况下攻击,可称为零日攻击(zero-day attack),并对目标系统、应用程式或设备造成危害。
以下为攻击者通常使用零日漏洞来入侵并窃取用户个资的步骤:
诱导安装恶意软体
进行远端攻击
控制系统、设备
窃取用户数据或个人资料
微软早在今年2 月发现异常,Google 耗费十多天修补漏洞
早在今年2 月,微软(Microsoft) 的安全团队就注意到这款假游戏,但当Kaspersky (全球领先的网络安全公司之一)进行分析时,北韩骇客组织Lazarus 就已经移除网站中的漏洞程式码。
不过,Kaspersky 仍将此问题通报给Google,Google 也在Lazarus 再次利用这个漏洞之前完成修补,但花了12 天才修补好这个漏洞。
原文:Louis Lin
编译:koki in cloak
注:部分图片来源于网络,如有侵权请联系删除
本文仅做知识分享,不代表情报处观点,不构成任何投资建议
地址:0xd4E129dB6cf93b2aeB90FD71002B278C79b557a7
关注公众号
加入粉丝交流群