Al actor de amenazas norcoreano conocido como Lazarus Group se le ha atribuido la explotación de día cero de una falla de seguridad ahora parcheada en Google Chrome para tomar el control de los dispositivos infectados.

El proveedor de ciberseguridad Kaspersky dijo que descubrió una nueva cadena de ataque en mayo de 2024 que tenía como objetivo la computadora personal de un ciudadano ruso anónimo con la puerta trasera Manuscrypt .

Esto implica activar el exploit de día cero simplemente al visitar un sitio web de juegos falso («detankzone[.]com») que estaba dirigido a personas del sector de las criptomonedas. Se estima que la campaña comenzó en febrero de 2024.

«A primera vista, este sitio web parecía una página de producto diseñada profesionalmente para un juego de tanques de arena de batalla en línea multijugador (MOBA) basado en NFT (token no fungible) de finanzas descentralizadas (DeFi), que invitaba a los usuarios a descargar una versión de prueba», dijeron los investigadores de Kaspersky, Boris Larin y Vasily Berdnikov.

«Pero eso era sólo un disfraz. Bajo el capó, este sitio web tenía un script oculto que se ejecutaba en el navegador Google Chrome del usuario, lanzando un exploit de día cero y dando a los atacantes control total sobre el PC de la víctima».

La vulnerabilidad en cuestión es CVE-2024-4947 , un error de confusión de tipos en el motor JavaScript V8 y WebAssembly que Google parcheó a mediados de mayo de 2024.

El uso de un juego de tanques malicioso (DeTankWar, ​​DeFiTankWar, ​​DeTankZone o TankWarsZone) como conducto para distribuir malware es una táctica que Microsoft ha atribuido a otro grupo de actividad de amenazas de Corea del Norte denominado Moonstone Sleet .

Estos ataques se llevan a cabo acercándose a objetivos potenciales a través de plataformas de correo electrónico o mensajería, engañándolos para que instalen el juego haciéndose pasar por una empresa de blockchain o un desarrollador de juegos que busca oportunidades de inversión.

Los últimos hallazgos de Kaspersky agregan otra pieza al rompecabezas del ataque, resaltando el papel desempeñado por el exploit de día cero del navegador en la campaña.

En concreto, el exploit contiene código para dos vulnerabilidades: la primera se utiliza para dar a los atacantes acceso de lectura y escritura a todo el espacio de direcciones del proceso Chrome desde JavaScript (CVE-2024-4947), y la segunda se utiliza de forma abusiva para evitar el sandbox de V8 .

«La [segunda] vulnerabilidad es que la máquina virtual tiene un número fijo de registros y una matriz dedicada a almacenarlos, pero los índices de los registros se decodifican a partir de los cuerpos de las instrucciones y no se comprueban», explicaron los investigadores. «Esto permite a los atacantes acceder a la memoria fuera de los límites de la matriz de registros».

Google solucionó el problema de bypass de sandbox V8 en marzo de 2024, tras un informe de error enviado el 20 de marzo de 2024. Dicho esto, actualmente no se sabe si los atacantes lo descubrieron antes y lo utilizaron como un día cero, o si lo explotaron como una vulnerabilidad de día N.

Una vez que se ha realizado la explotación, el atacante ejecuta un validador que adopta la forma de un código shell, encargado de recopilar información del sistema, que luego se utiliza para determinar si la máquina es lo suficientemente valiosa como para llevar a cabo otras acciones posteriores a la explotación. Actualmente se desconoce la carga útil exacta que se entrega después de esta etapa.

«Lo que nunca deja de impresionarnos es el esfuerzo que Lazarus APT pone en sus campañas de ingeniería social», dijo la compañía rusa, señalando el patrón del actor de amenazas de contactar a figuras influyentes en el espacio de las criptomonedas para ayudarlos a promover su sitio web malicioso.

«Durante varios meses, los atacantes construyeron su presencia en las redes sociales, realizando publicaciones regulares en X (antes Twitter) desde múltiples cuentas y promocionando su juego con contenido producido por IA generativa y diseñadores gráficos».

La actividad del atacante se ha observado en X y LinkedIn, sin mencionar los sitios web especialmente diseñados y los mensajes de correo electrónico enviados a objetivos de interés.

El sitio web también está diseñado para atraer a los visitantes a descargar un archivo ZIP («detankzone.zip») que, una vez lanzado, es un juego descargable completamente funcional que requiere el registro del jugador, pero también alberga un código para lanzar un cargador personalizado con nombre en código YouieLoad, como lo detalló previamente Microsoft.

Es más, se cree que el Grupo Lazarus robó el código fuente del juego de un juego legítimo de blockchain de tipo play-to-earn (P2E) llamado DeFiTankLand (DFTL), que sufrió su propio ataque en marzo de 2024, lo que provocó el robo de 20.000 dólares en monedas DFTL2.

Aunque los desarrolladores del proyecto culparon a una persona interna por la violación, Kaspersky sospecha que el Grupo Lazarus estaba detrás de ella y que robaron el código fuente del juego junto con las monedas DFTL2 y lo reutilizaron para avanzar en sus objetivos.

«Lazarus es uno de los actores de APT más activos y sofisticados, y el beneficio económico sigue siendo una de sus principales motivaciones», dijeron los investigadores.

«Las tácticas de los atacantes están evolucionando y constantemente están ideando nuevos y complejos esquemas de ingeniería social. Lazarus ya ha comenzado a utilizar con éxito la IA generativa y prevemos que idearán ataques aún más elaborados con ella».

Fuente y redacción: thehackernews.com

Compartir