El Equipo Global de Investigación y Análisis (GReAT) de Kaspersky ha descubierto una sofisticada campaña maliciosa por parte del grupo APT Lazarus, dirigida a inversores de criptomonedas de todo el mundo. Los atacantes utilizaron una página web falsa de criptogames que explotaba una vulnerabilidad de día cero en Google Chrome para instalar spyware y robar credenciales de monederos. Estos hallazgos han sido presentados en la 16ª edición del Security Analyst Summit (SAS), celebrada en Bali entre el 22 y el 25 de octubre.
En mayo de 2024, mientras se analizaban incidentes con la telemetría de Kaspersky Security Network, los expertos de la compañía de ciberseguridad identificaron un ataque que utilizaba el malware Manuscrypt, malware que el grupo Lazarus ha estado utilizando desde 2013 y que el equipo GReAT de Kaspersky ha documentado en más de 50 campañas únicas dirigidas a diversas industrias. Un análisis más profundo reveló una sofisticada campaña maliciosa que dependía en gran medida de técnicas de ingeniería social e Inteligencia Artificial (IA) generativa para atacar a los inversores en criptomonedas.
El grupo Lazarus es conocido por sus ataques altamente avanzados a plataformas de criptomonedas y tiene un historial de uso de exploits de día cero. Esta nueva campaña sigue un patrón similar: los analistas de Kaspersky descubrieron que el grupo de amenazas explotó dos vulnerabilidades, incluida una desviación de tipos previamente desconocida en V8, el motor de código abierto de JavaScript y WebAssembly de Google. Tras ser reportada por Kaspersky a Google, esta vulnerabilidad de día cero fue corregida como CVE-2024-4947 puesto que permitía a los atacantes ejecutar código arbitrario, eludir funciones de seguridad y realizar diversas actividades maliciosas. Otra vulnerabilidad se utilizó para eludir la protección del sandbox de V8 en Google Chrome.
Los atacantes explotaron esta vulnerabilidad a través de páginas web de juegos falsos, cuidadosamente diseñadas, que invitaban a los usuarios a participar en competiciones globales utilizando tanques representados como NFTs. Se centraron en generar confianza para maximizar la efectividad de la campaña, diseñando detalles para que las actividades promocionales parecieran lo más reales posible. Esto incluyó la creación de cuentas en redes sociales en X (anteriormente conocido como Twitter) y LinkedIn para promocionar el juego durante varios meses, usando imágenes generadas por IA para mejorar la credibilidad.
Lazarus ha integrado con éxito la IA generativa en sus operaciones, y los expertos de Kaspersky anticipan que los atacantes idearán ataques aún más sofisticados usando esta tecnología. Los atacantes también involucran a influencers de criptomonedas para una mayor promoción, aprovechando su presencia en redes sociales no solo para distribuir la amenaza, sino también para atacar directamente sus cuentas de criptomonedas.
“Si bien hemos visto actores APT persiguiendo ganancias financieras antes, esta campaña fue única. Los atacantes fueron más allá de las típicas tácticas al utilizar un juego completamente funcional como tapadera para explotar un día cero en Google Chrome e infectar los sistemas objetivo. Con actores tan conocidos como Lazarus, incluso acciones aparentemente inocuas, como acceder a un enlace de una red social o en un correo electrónico, pueden comprometer por completo un ordenador personal o toda una red corporativa. El esfuerzo significativo invertido en esta campaña sugiere que tenían planes ambiciosos, y el impacto real podría ser mucho más amplio, afectando a usuarios y empresas de todo el mundo”, apunta Boris Larin, experto principal en seguridad del GReAT de Kaspersky.
Los expertos de Kaspersky descubrieron un juego legítimo que parecía haber sido un prototipo de la versión de los atacantes. Poco después de que los atacantes lanzaran la campaña para la promoción de su juego, los desarrolladores del juego auténtico afirmaron que se habían transferido 20.000 dólares en criptomoneda desde su monedero. El logo y el diseño del juego falso imitaban de cerca al original, diferenciándose solo en la colocación del logotipo y la calidad visual. Dadas estas similitudes y coincidencias en el código, los expertos de Kaspersky subrayan que los miembros de Lazarus hicieron grandes esfuerzos para dar credibilidad a su ataque. Crearon un juego falso usando código fuente robado, reemplazando logos y todas las referencias al juego legítimo para mejorar la ilusión de autenticidad en su versión casi idéntica.
Los detalles de la campaña maliciosa se presentaron en la 16ª edición del Security Analyst Summit (SAS), celebrada en Bali entre el 22 y el 25 de octubre, y está disponible también en Securelist.