假链游真盗币!北韩骇客 Lazarus 利用 Chrome零日漏洞诱骗加密资产
频频搞事的北韩骇客组织 Lazarus Group 先前就已窃取印度交易所 WazirX 近 23 亿美元,接连又有几桩窃取加密资产等相关案件,而这次 Lazarus 将魔手伸向区块链游戏。Lazarus 先创建一款假的链上游戏,再利用 Google Chrome 的漏洞植入间谍软体,成功窃取用户的加密钱包凭证。电脑安全公司 Kaspersky 在今年 5 月发现此问题后已向 Google 报告,目前已修补漏洞。
Table of Contents
Toggle假链上游戏暗藏风险Lazarus 推出了一款名为DeTankZone或DeTankWar的假链上游戏,玩家可以使用 NFT 作为战车与全球玩家比赛。
Source 网路安全公司卡巴斯基 (Kaspersky)Lazarus 模仿现有的链上游戏DeFiTankLand,成功诱骗众多用户来下载,进而利用 Google Chrome 的漏洞来植入恶意软体,窃取用户的加密货币钱包凭证。
广告 内文未完请往下卷动真链上游戏:DeFiTankLandLazarus 还透过 LinkedIn 和推特等社群大力宣传,还试图联系在加密领域有影响力的 KOL,让他们推广他们的恶意网站。恐怖的是,即便玩家没有下载游戏,但只要浏览网站,电脑就可能被感染。
Source 网路安全公司卡巴斯基 (Kaspersky)利用 Chrome 漏洞植入恶意程式Lazarus 透过一个名为Manuscrypt的恶意软体,再利用 Chrome 浏览器中 JavaScript V8 engine 的型别混淆漏洞(Type Confusion) 来攻击用户,这是 Chrome 在 2024 年 5 月之前发现的第七个零日漏洞 (zeroday vulnerability)。
卡巴斯基于 Javascript 中找到的漏洞什么是零日漏洞与零日攻击?零日漏洞 (zeroday vulnerability) 指的是一个还没被软体开发者或网路安全专家发现,而且已被攻击者利用的安全漏洞。由于开发者还没来得及修补这个漏洞,攻击者可以在零日的情况下攻击,可称为零日攻击 (zeroday attack),并对目标系统、应用程式或设备造成危害。
USDT手机钱包以下为攻击者通常使用零日漏洞来入侵并窃取用户个资的步骤:
诱导安装恶意软体进行远端攻击控制系统、设备窃取用户数据或个资微软早在今年 2 月发现异常,Google 耗费十多天修补漏洞早在今年 2 月,微软 (Microsoft) 的安全团队就注意到这款假游戏,但当 Kaspersky 进行分析时,北韩骇客组织Lazarus 就已经移除网站中的漏洞程式码。不过,Kaspersky 仍将此问题通报给 Google,Google 也在 Lazarus 再次利用这个漏洞之前完成修补,但花了 12 天才修补好这个漏洞。
Source Microsoft #8216X(ZachXBT揭露北韩骇客犯罪网路,佯装开发者渗透团队再卷款:月收50万美元)
Lazarus加密资产北韩零日漏洞 衍伸阅读