Эксперты Kaspersky GReAT (Глобального центра исследования и анализа угроз «Лаборатории Касперского») обнаружили сложную кампанию группы Lazarus. Об этом они сообщили на Security Analyst Summit 2024 на Бали. Для атак на пользователей по всему миру злоумышленники создали вредоносный сайт для онлайн-игры в танки, в которой якобы можно получать награды в криптовалюте. С его помощью они эксплуатировали уязвимость нулевого дня в браузере Google Chrome, позволяющую заражать устройства и красть учётные данные криптокошельков. Сейчас эта уязвимость устранена, а сайт игры заблокирован.
Что указывает на Lazarus. В мае 2024 года эксперты «Лаборатории Касперского» обнаружили атаку, в ходе которой использовался бэкдор Manuscrypt. Это инструмент, характерный для группы Lazarus с 2013 года. По данным Kaspersky GReAT, он применялся более чем в 50 уникальных кампаниях, нацеленных на организации из разных отраслей. В ходе дальнейшего анализа выяснилось, что этому предшествовала эксплуатация браузера Google Chrome, что и позволило выявить данную кампанию. Lazarus — одна из немногих кибергрупп, которая использует уязвимости нулевого дня. Этот метод не распространён среди атакующих, поскольку требует много ресурсов, в том числе времени и знаний.
Что за игра. На сайте пользователям предлагали скачать пробную версию игры, в основе которой лежит модель Play-To-Earn («Играй, чтобы зарабатывать»). Суть игры заключалась в сражениях на виртуальных NFT-танках с соперниками по всему миру, в ней якобы можно было получать выигрыш в криптовалюте. Игру действительно можно было запустить, проверили эксперты «Лаборатории Касперского».