頻頻搞事的北韓駭客組織 Lazarus Group 先前就已竊取印度交易所 WazirX 近 2.3 億美元,接連又有幾樁竊取加密資產等相關案件,而這次 Lazarus 將魔手伸向區塊鏈遊戲。Lazarus 先創建一款假的鏈上遊戲,再利用 Google Chrome 的漏洞植入間諜軟體,成功竊取用戶的加密錢包憑證。電腦安全公司 Kaspersky 在今年 5 月發現此問題後已向 Google 報告,目前已修補漏洞。
Table of Contents
Lazarus 推出了一款名為「DeTankZone」或「DeTankWar」的假鏈上遊戲,玩家可以使用 NFT 作為戰車與全球玩家比賽。
Source : 網路安全公司卡巴斯基 (Kaspersky)
Lazarus 模仿現有的鏈上遊戲「DeFiTankLand」,成功誘騙眾多用戶來下載,進而利用 Google Chrome 的漏洞來植入惡意軟體,竊取用戶的加密貨幣錢包憑證。
真鏈上遊戲:DeFiTankLand
Lazarus 還透過 LinkedIn 和推特等社群大力宣傳,還試圖聯繫在加密領域有影響力的 KOL,讓他們推廣他們的惡意網站。恐怖的是,即便玩家沒有下載遊戲,但只要瀏覽網站,電腦就可能被感染。
Source : 網路安全公司卡巴斯基 (Kaspersky)
利用 Chrome 漏洞植入惡意程式
Lazarus 透過一個名為「Manuscrypt」的惡意軟體,再利用 Chrome 瀏覽器中 JavaScript V8 engine 的「型別混淆漏洞」(Type Confusion) 來攻擊用戶,這是 Chrome 在 2024 年 5 月之前發現的第七個零日漏洞 (zero-day vulnerability)。
卡巴斯基於 Javascript 中找到的漏洞
什麼是零日漏洞與零日攻擊?
零日漏洞 (zero-day vulnerability) 指的是一個還沒被軟體開發者或網路安全專家發現,而且已被攻擊者利用的安全漏洞。由於開發者還沒來得及修補這個漏洞,攻擊者可以在「零日」的情況下攻擊,可稱為零日攻擊 (zero-day attack),並對目標系統、應用程式或設備造成危害。
以下為攻擊者通常使用零日漏洞來入侵並竊取用戶個資的步驟:
誘導安裝惡意軟體
進行遠端攻擊
控制系統、設備
竊取用戶數據或個資
微軟早在今年 2 月發現異常,Google 耗費十多天修補漏洞
早在今年 2 月,微軟 (Microsoft) 的安全團隊就注意到這款假遊戲,但當 Kaspersky 進行分析時,北韓駭客組織Lazarus 就已經移除網站中的漏洞程式碼。不過,Kaspersky 仍將此問題通報給 Google,Google 也在 Lazarus 再次利用這個漏洞之前完成修補,但花了 12 天才修補好這個漏洞。
Source: Microsoft ‘X
(ZachXBT揭露北韓駭客犯罪網路,佯裝開發者滲透團隊再捲款:月收50萬美元)
