El infame grupo Lazarus de Corea del Norte está utilizando un sitio web de juegos falso bien diseñado, un error de día cero de Chrome ahora parcheado, cuentas profesionales de LinkedIn, imágenes generadas por IA y otros trucos para intentar robar a usuarios de criptomonedas en todo el mundo. El grupo parece haber lanzado la elaborada campaña en febrero y desde entonces ha utilizado varias cuentas en X y ha engañado a figuras influyentes en el espacio de las criptomonedas para promocionar su sitio de criptojuegos infectado con malware. Campaña elaborada “A lo largo de los años, hemos descubierto muchas [Lazarus] ataques a la industria de las criptomonedas, y una cosa es segura: estos ataques no van a desaparecer”, dijeron investigadores de Kaspersky, después de descubrir la última campaña mientras investigaban una reciente infección de malware. “Lazarus ya ha comenzado a utilizar con éxito la IA generativa y predecimos que idearán ataques aún más elaborados al utilizarla”, señaló el proveedor de seguridad. Es posible que el grupo Lazarus, patrocinado por el estado, aún no sea un nombre reconocible, pero se encuentra fácilmente entre los actores de amenazas cibernéticas más prolíficos y peligrosos en funcionamiento. Desde que apareció en los titulares con un ataque a Sony Pictures en 2014, Lazarus (y subgrupos como Andariel y Bluenoroff) han figurado en innumerables incidentes de seguridad notorios. Entre ellos se incluyen el brote de ransomware WannaCry, el atraco de 81 millones de dólares al Banco de Bangladesh y los intentos de robar secretos relacionados con la vacuna COVID de las principales empresas farmacéuticas durante el apogeo de la pandemia. Los analistas creen que muchos de los ataques con motivación financiera del grupo, incluidos aquellos que involucran ransomware, robo de tarjetas y usuarios de criptomonedas, son en realidad intentos de generar ingresos para el programa de misiles del gobierno de Corea del Norte, que tiene problemas de dinero. En la última campaña, el grupo parece haber perfeccionado algunos de los trucos de ingeniería social empleados en campañas anteriores. El elemento central de la nueva estafa es detankzone punto-com, una página de producto diseñada profesionalmente que invita a los visitantes a descargar un juego de tanques multijugador en línea basado en NFT. Los investigadores de Kaspersky descubrieron que el juego estaba bien diseñado y era funcional, pero sólo porque los actores de Lazarus habían robado el código fuente de un juego legítimo para crearlo. Un Chrome Zero-Day y un segundo error Kaspersky descubrió que el sitio web contenía código de explotación para dos vulnerabilidades de Chrome. Uno de ellos, rastreado como CVE-2024-4947, fue un error de día cero previamente desconocido en el motor del navegador Chrome V8. Les dio a los atacantes una forma de ejecutar código arbitrario dentro de un entorno limitado del navegador a través de una página HTML especialmente diseñada. Google abordó la vulnerabilidad en mayo después de que Kaspersky informara sobre la falla a la empresa. La otra vulnerabilidad de Chrome que Kaspersky observó en el último exploit de Lazarus Group es que no parece tener un identificador formal. Les dio a los atacantes una forma de escapar por completo del entorno limitado de Chrome V8 y obtener acceso completo al sistema. El actor de amenazas utilizó ese acceso para implementar shellcode para recopilar información sobre el sistema comprometido antes de decidir si implementar más cargas útiles maliciosas en el sistema comprometido, incluida una puerta trasera llamada Manuscrypt. Lo que hace que la campaña sea notable es el esfuerzo que los actores del Grupo Lazarus parecen haber puesto en su ángulo de ingeniería social. “Se centraron en generar un sentido de confianza para maximizar la efectividad de la campaña, diseñando detalles para que las actividades promocionales parecieran lo más genuinas posible”, escribieron los investigadores de Kaspersky Boris Larin y Vasily Berdnikov. Usaron múltiples cuentas falsas para promocionar su sitio a través de X y LinkedIn junto con contenido e imágenes generados por IA para crear una ilusión de autenticidad en torno a su sitio de juegos falso. “Los atacantes también intentaron involucrar a personas influyentes en criptomonedas para una mayor promoción, aprovechando su presencia en las redes sociales no solo para distribuir la amenaza sino también para atacar directamente sus cuentas de criptomonedas”, escribieron Larin y Berdnikov. URL de la publicación original: https://www.darkreading.com/cyberattacks-data-breaches/lazarus-group-exploits-chrome-zero-day-campaign