Grupo Lazarus volta a atacar: Cibercriminosos exploram falha no Chrome para roubar criptomoedas com website falso
A Equipa Global de Investigação e Análise (GReAT) da Kaspersky revelou uma nova e avançada campanha maliciosa, promovida pelo grupo de Ameaças Avançadas Persistentes (APT) Lazarus. O grupo, conhecido pelos seus ataques direcionados a plataformas de criptomoedas, está agora a explorar uma vulnerabilidade de dia zero no Google Chrome para atacar investidores de criptomoedas em todo o mundo.
Estas descobertas foram divulgadas durante a Cimeira de Analistas de Segurança de 2024, realizada em Bali.
Os investigadores da Kaspersky detetaram esta campanha em maio de 2024, ao analisar a telemetria da sua rede de segurança. O Lazarus utilizou o malware Manuscrypt, amplamente associado a este grupo desde 2013 e envolvido em mais de 50 campanhas cibernéticas. Desta vez, os atacantes recorreram a técnicas de engenharia social e à inteligência artificial (IA) generativa para desenvolver um esquema altamente sofisticado que se disfarçava sob a forma de um website de jogos de criptomoedas.
A campanha identificada pela Kaspersky baseou-se na exploração de duas vulnerabilidades, uma das quais foi um bug de confusão no V8, o motor JavaScript e WebAssembly do Google. Esta vulnerabilidade, classificada como CVE-2024-4947, permitia aos cibercriminosos executar código arbitrário nos sistemas das vítimas e foi rapidamente corrigida após a Kaspersky alertar a Google. Além disso, outra falha permitia contornar a proteção da sandbox do V8 no Google Chrome, facilitando ainda mais as ações maliciosas do grupo.
O Lazarus desenvolveu um website falso de um jogo de tanques NFT, que servia como fachada para atrair vítimas. O website, promovido nas redes sociais, foi meticulosamente criado para gerar confiança, recorrendo a imagens geradas por IA e à colaboração de influenciadores de criptomoedas, visando tanto os investidores como as suas contas. Segundo Boris Larin, Especialista Principal em Segurança no GReAT da Kaspersky, este ataque destacou-se pela sua sofisticação, utilizando um jogo funcional como isco para comprometer dispositivos.
Durante a investigação, a Kaspersky descobriu um jogo legítimo que parecia ter sido utilizado como base para o ataque. Os criadores do jogo original relataram o roubo de 20.000 dólares em criptomoedas da sua carteira, com o design e o logótipo do jogo falso a serem quase idênticos aos originais. O Lazarus terá alterado apenas pequenos detalhes visuais e usado código-fonte roubado para aumentar a credibilidade da sua versão.