Nhóm hacker Lazarus khai thác lỗ hổng zero-day ở Chrome bằng game NFT giả

Vào hôm 23-10, công ty an ninh mạng Kaspersky đã tuyên bố phát hiện ra một chiến dịch tấn công mạng tinh vi của nhóm hacker Triều Tiên Lazarus nhằm mục tiêu đánh cắp tài sản tiền điện tử.

Nhóm Lazarus đã khai thác lỗ hổng zero-day của Google Chrome sử dụng một game NFT giả, từ đó cài đặt phần mềm độc hại nhằm đánh cắp thông tin ví của người dùng.

Chi tiết về chiến dịch tấn công mạng được phát hiện ra từ hồi tháng 5-2024 và nay được trình bày bởi đội nghiên cứu và phân tích toàn cầu của Kaspersky tại Hội nghị Các nhà phân tích an ninh mạng 2024 diễn ra ở Bali. Chiến dịch tấn công này đã áp dụng công nghệ AI và nhiều kỹ thuật phức tạp nhằm đánh cắp tài sản của các nhà đầu tư tiền điện tử.

“Những kẻ tấn công không áp dụng chiến lược thông thường mà sử dụng một trò chơi có đầy đủ tính năng nhằm khai thác lỗ hổng zero-day của Google Chrome và đầu độc cả hệ thống”, chuyên gia Boris Larin của Kaspersky cho hay.

Theo Larin, với những nhóm hacker khét tiếng như Lazarus, chỉ bằng một hành động vô thức như nhấn vào đường link mạng xã hội hay email, bạn cũng có thể giúp chúng kiểm soát toàn bộ máy tính cá nhân hay mạng lưới của toàn bộ doanh nghiệp. Ảnh hưởng thực tế của chiến dịch tấn công như vậy có thể lớn hơn rất nhiều, tác động tới người dùng và doanh nghiệp trên toàn thế giới.

Kaspersky: Hacker khai thác lỗ hổng bảo mật bằng trang web game giả

Theo các chuyên gia bảo mật của Kaspersky, Lazarus Group đã khai thác hai lỗ hổng bảo mật, trong đó có một lỗi chưa được phát hiện trong JavaScript V8 của nền tảng WebAssembly và mã nguồn mở của Google. Sau khi được Kaspersky thông báo, Google đã khắc phục lỗ hổng này.

Kết quả điều tra cho thấy, lỗ hổng này cho phép kẻ tấn công triển khai mã độc tùy ý, vượt qua nhiều biện pháp bảo mật và thực hiện nhiều hành động xấu khác. Lazarus đã tạo ra một trang web trò chơi blockchain giả, mời người dùng tham gia thi đấu toàn cầu với các loại xe tăng NFT. Để tăng độ tin cậy, nhóm này đã tổ chức nhiều chiến dịch quảng bá trên mạng xã hội và LinkedIn, sử dụng hình ảnh do AI tạo ra. Nó cũng thuê nhiều người có tầm ảnh hưởng trong lĩnh vực tiền điện tử nhằm mở rộng phạm vi tiếp cận.

Không lâu sau khi trò chơi giả được triển khai trên mạng xã hội, các nhà phát triển thực sự đã phát hiện ra điều bất thường và thông báo khoảng 20,000 USD tiền điện tử đã bị chuyển ra khỏi ví của họ. Lazarus đã sao chép hoàn toàn logo và chất lượng hình ảnh của trò chơi gốc để tạo độ tin cậy cao nhất cho trang web giả mạo. Nó thậm chí đánh cắp mã nguồn của trò chơi thật để làm nên bản sao giả, khiến người dùng khó nhận ra dấu hiệu lừa đảo.