Lazarus ใช้ช่องโหว่เบราเซอร์ Chrome ขโมยเงินคริปโต

ทีมวิจัยและวิเคราะห์ระดับโลกของ แคสเปอร์สกี้ (GReAT) เปิดเผยว่า แคมเปญอันตรายที่ซับซ้อนโดยกลุ่ม ลาซารัส Lazarus APT (Advanced Persistent Threat) มีเป้าหมายเป็นนักลงทุนเงินคริปโตทั่วโลก

ผู้โจมตีใช้เว็บไซต์เกมคริปโตปลอมโดยใช้ประโยชน์จากช่องโหว่ซีโร่เดย์ในเบราเซอร์ Google Chrome เพื่อติดตั้งสปายแวร์และขโมยข้อมูลประจำตัวของวอลเล็ต

เดือนพฤษภาคม 2024 ผู้เชี่ยวชาญของแคสเปอร์สกี้ได้วิเคราะห์เหตุการณ์ที่เกิดขึ้นภายใน Kaspersky Security Network และพบการโจมตีโดยใช้มัลแวร์ Manuscrypt ที่กลุ่ม Lazarus ใช้มาตั้งแต่ปี 2013

ทีม GReAT บันทึกแคมเปญได้มากกว่า 50 แคมเปญที่มีเป้าหมายโจมตีภาคอุตสาหกรรมต่างๆ การวิเคราะห์เพิ่มเติมจึงพบว่า เป็นแคมเปญอันตรายที่ซับซ้อนซึ่งพึ่งพาเทคนิค social engineering และ generative AI อย่างมากเพื่อพุ่งการโจมตีนักลงทุนเงินคริปโตโดยเฉพาะ

กลุ่ม Lazarus เป็นที่รู้จักด้านการโจมตีขั้นสูงบนแพลตฟอร์มเงินคริปโตและมีประวัติการใช้ช่องโหว่ซีโร่เดย์ แคมเปญที่เพิ่งค้นพบนี้ก็ดำเนินตามรูปแบบเดียวกัน

นักวิจัยของแคสเปอร์สกี้พบว่า ผู้ก่อภัยคุกคามใช้ประโยชน์จากช่องโหว่สองแห่ง รวมถึงบั๊กที่ทำให้สับสนอย่างที่ไม่เคยพบมาก่อนใน V8 ซึ่งเป็น JavaScript โอเพ่นซอร์สของ Google และเอ็นจิ้น WebAssembly

ช่องโหว่นี้ทำให้ผู้โจมตีสามารถเรียกใช้โค้ดตามต้องการ บายพาสคุณสมบัติความปลอดภัย และดำเนินกิจกรรมที่เป็นอันตรายต่างๆ ส่วนช่องโหว่อีกแห่งถูกใช้เพื่อบายพาสการป้องกันแซนด์บ็อกซ์ของ Google Chrome V8

ผู้โจมตีใช้ประโยชน์จากช่องโหว่นี้ผ่านเว็บไซต์เกมปลอมที่ออกแบบมาอย่างพิถีพิถันเพื่อเชิญชวนผู้ใช้ให้แข่งขันกับรถถัง NFT ทั่วโลก ผู้โจมตีเน้นสร้างความรู้สึกไว้วางใจเพื่อเพิ่มประสิทธิภาพแคมเปญให้สูงสุด ออกแบบรายละเอียดเพื่อให้กิจกรรมส่งเสริมการขายดูสมจริงที่สุด ซึ่งรวมถึงการสร้างบัญชีโซเชียลมีเดียบน X (Twitter) และ LinkedIn เพื่อโปรโมตเกมเป็นเวลาหลายเดือน

โดยใช้รูปภาพที่สร้างโดยและผู้เชี่ยวชาญของแคสเปอร์สกี้คาดว่าผู้โจมตีจะคิดค้นการโจมตีที่ซับซ้อนยิ่งขึ้นโดยใช้เทคโนโลยีนี้

นอกจากนี้ ผู้โจมตียังพยายามติดต่ออินฟลูเอนเซอร์ด้านเงินคริปโตเพื่อโปรโมตการแข่งขัน โดยใช้ประโยชน์จากโซเชียลมีเดีย ซึ่งเป็นการแพร่กระจายภัยคุกคามและสามารถกำหนดเป้าหมายบัญชีเงินคริปโตของเหยื่อได้โดยตรงอีกด้วย

บอริส ลาริน ผู้เชี่ยวชาญด้านความปลอดภัย ทีม GReAT แคสเปอร์สกี้ กล่าวว่า แม้ว่าจะเคยเห็นอาชญากรไซเบอร์ขั้นสูง APT หาผลประโยชน์ทางการเงินมาก่อน แต่แคมเปญนี้ถือเป็นแคมเปญที่ไม่เหมือนใคร

ผู้โจมตีใช้กลวิธีที่เหนือกว่าวิธีปกติ ด้วยการใช้เกมที่มีฟังก์ชันครบถ้วนเป็นข้ออ้างในการใช้ประโยชน์จากช่องโหว่ซีโร่เดย์ของ Google Chrome และแพร่ระบาดไปยังระบบเป้าหมาย

กลุ่มอาชญากรไซเบอร์ฉาวโฉ่อย่างกลุ่ม Lazarus นี้แม้แต่การกระทำที่ดูเหมือนไม่เป็นอันตราย เช่น การคลิกลิงก์บนโซเชียลเน็ตเวิร์กหรือในอีเมล ก็อาจส่งผลให้คอมพิวเตอร์ส่วนบุคคลหรือเครือข่ายองค์กรทั้งหมดถูกบุกรุกได้อย่างสมบูรณ์ การที่กลุ่ม Lazarus พยายามลงแรงอย่างมากกับแคมเปญนี้ แสดงให้เห็นว่ามีแผนการใหญ่ที่ทะเยอทะยาน และผลกระทบอาจขยายวงกว้างกว่านั้นมาก ซึ่งอาจส่งผลกระทบต่อผู้ใช้และองค์กรธุรกิจทั่วโลก

ผู้เชี่ยวชาญของแคสเปอร์สกี้ยังค้นพบเกมที่ถูกต้องซึ่งน่าจะเป็นต้นแบบของเกมเวอร์ชันของผู้โจมตี ไม่นานหลังจากที่ผู้โจมตีเปิดตัวแคมเปญเพื่อโปรโมตเกมของตน นักพัฒนาเกมตัวจริงอ้างว่ามีการโอนเงินคริปโตมูลค่า 20,000 ดอลลาร์ออกจากวอลเล็ตของตน

โลโก้และการออกแบบของเกมปลอมนั้นใกล้เคียงกับเกมต้นฉบับมาก ต่างกันเพียงการวางโลโก้และคุณภาพของภาพเท่านั้น เมื่อพิจารณาจากความคล้ายคลึงและการทับซ้อนของโค้ดเหล่านี้

จะเห็นได้ว่ากลุ่ม Lazarus พยายามอย่างเต็มที่เพื่อเพิ่มความน่าเชื่อถือให้กับการโจมตีนี้ ทั้งสร้างเกมปลอมโดยใช้โค้ดต้นฉบับที่ขโมยมา จัดวางโลโก้และระบุข้อมูลทั้งหมดจากเกมที่ถูกกฎหมาย เพื่อบดบังความจริงในเวอร์ชันที่แทบจะเหมือนกันทุกประการ