A Equipa Global de Investigação e Análise (GReAT) da Kaspersky descobriu uma campanha maliciosa sofisticada do grupo Lazarus, um grupo de Ameaças Avançadas Persistentes (APT) que visa investidores de criptomoedas em todo o mundo.
Os atacantes criaram um website de jogos de criptomoedas que explorava uma vulnerabilidade de dia zero no Google Chrome para instalar spyware e roubar credenciais de carteiras. Estas conclusões foram apresentadas na Cimeira de Analistas de Segurança de 2024, realizada em Bali.
Em Maio de 2024, os especialistas da Kaspersky, ao analisarem incidentes na telemetria da Kaspersky Security Network, identificaram um ataque que recorria ao malware Manuscrypt, utilizado pelo grupo Lazarus desde 2013 e documentado pelo Kaspersky GReAT em mais de 50 campanhas únicas dirigidas a várias indústrias. Uma investigação mais aprofundada revelou uma campanha maliciosa sofisticada que se baseou fortemente em técnicas de engenharia social e IA generativa para atacar os investidores em criptomoedas.
O grupo Lazarus é conhecido pelos seus ataques altamente avançados em plataformas de criptomoedas e apresenta um historial de explorações de dia zero. Esta campanha recém-descoberta seguiu o mesmo padrão: os investigadores da Kaspersky descobriram que os cibercriminosos exploraram duas vulnerabilidades, incluindo um bug de confusão anteriormente desconhecido no V8, o JavaScript de código aberto do Google e o mecanismo WebAssembly. Esta vulnerabilidade de dia zero foi corrigida e classificada como CVE-2024-4947, depois de a Kaspersky a ter comunicado à Google. Através desta vulnerabilidade, os atacantes podiam executar código arbitrário, contornar funcionalidades de segurança e conduzir várias actividades maliciosas. A outra vulnerabilidade permitia ao grupo contornar a proteção da sandbox V8 do Google Chrome.
Através de um website falso de um jogo de criptomoedas cuidadosamente concebido, os atacantes convidavam os utilizadores a competir globalmente com tanques NFT. Este website fomentou a criação de um sentimento de confiança e maximizou a eficácia da campanha, dispondo de detalhes que tornaram as actividades promocionais genuínas possível. O Lazarus também criou contas nas redes sociais no X (anteriormente conhecido como Twitter) e no LinkedIn para promover o jogo durante vários meses com imagens geradas por IA para aumentar a credibilidade. O grupo integrou com sucesso a IA generativa nas suas operações e os especialistas da Kaspersky preveem que os atacantes irão conceber ataques ainda mais sofisticados utilizando esta tecnologia.
Os atacantes também tentaram envolver influenciadores de criptomoedas para uma maior promoção, aproveitando a sua presença nas redes sociais não só para distribuir a ameaça, mas também para atacar directamente as suas contas de criptomoedas.
«Embora já tenhamos visto atacantes de APT a procurar obter ganhos financeiros, esta campanha foi única. Os cibercriminosos foram além das tácticas típicas, utilizando um jogo totalmente funcional como cobertura para explorar um dia zero do Google Chrome e infectar os sistemas visados. Com agentes notórios como o Lazarus, mesmo as acções aparentemente inócuas – como clicar numa ligação numa rede social ou num e-mail – podem resultar no comprometimento total de um computador pessoal ou de toda uma rede empresarial. O esforço significativo investido nesta campanha sugere que tinham planos ambiciosos, e o impacto real pode ser muito mais amplo, afectando potencialmente utilizadores e empresas em todo o mundo», destaca Boris Larin, Especialista Principal em Segurança no GReAT da Kaspersky.
Os especialistas da Kaspersky descobriram um jogo legítimo que parecia ter sido um protótipo da versão dos atacantes. Pouco depois de os atacantes terem lançado a campanha para a promoção do jogo, os verdadeiros criadores do jogo afirmaram que 20 mil dólares em criptomoeda tinham sido transferidos da sua carteira. O logótipo e o design do jogo falso eram muito semelhantes aos originais, diferindo apenas na colocação do logótipo e na qualidade visual. Tendo em conta essas semelhanças e sobreposições no código, os especialistas da Kaspersky reforçam o esforço dos membros do Lazarus para garantir a credibilidade ao seu ataque. Criaram um jogo falso através de código fonte roubado e da substituição dos logótipos e todas as referências ao jogo legítimo, de forma a aumentar a ilusão de autenticidade da sua versão quase idêntica.
