Il gruppo di cybercriminali noto come Lazarus Group, di origine nordcoreana, ha recentemente sfruttato una vulnerabilità zero-day di Google Chrome per prendere il controllo dei dispositivi infetti. Questa vulnerabilità, ora risolta, ha permesso ai criminali di eseguire attacchi mirati utilizzando un sito web di gioco falso, detankzone[.]com, volto a colpire individui nel settore delle criptovalute. La campagna, iniziata nel febbraio 2024, è stata scoperta da Kaspersky a maggio dello stesso anno. Sotto l'apparenza di una pagina professionale per un gioco MOBA basato su NFT, il sito nascondeva uno script malevolo che attivava l'exploit zero-day nel browser Google Chrome della vittima.

Vulnerabilità sfruttata

La vulnerabilità sfruttata, identificata come CVE-2024-4947, è un bug di tipo confusion nell'engine V8 JavaScript e WebAssembly di Google, che è stato risolto a maggio 2024. Questo attacco ha coinvolto un gioco malevolo, usato come veicolo per la distribuzione di malware, una tattica già attribuita a un altro gruppo di hacker nordcoreani noto come Moonstone Sleet. Gli attacchi sono stati eseguiti avvicinando le vittime tramite email o piattaforme di messaggistica, fingendo di essere una società blockchain o uno sviluppatore di giochi in cerca di investitori.

Ricerche di Kaspersky

Le ricerche di Kaspersky hanno evidenziato il ruolo cruciale dell'exploit del browser zero-day nell'intera campagna di attacco. L'exploit conteneva codice per due vulnerabilità: la prima permetteva agli attaccanti di ottenere accesso in lettura e scrittura all'intero spazio di indirizzi del processo Chrome, mentre la seconda aggirava il sandbox di V8. Quest'ultima vulnerabilità è stata risolta da Google a marzo 2024. Non è ancora chiaro se gli attaccanti l'abbiano scoperta in anticipo e utilizzata come zero-day o se sia stata sfruttata come vulnerabilità N-day.

Dopo l'exploit

Dopo un exploit riuscito, gli attaccanti eseguivano un validatore sotto forma di shellcode, responsabile di raccogliere informazioni di sistema per determinare se il dispositivo valesse ulteriori azioni post-sfruttamento. Il payload esatto distribuito rimane sconosciuto. L'attività dei cybercriminali è stata osservata anche su piattaforme come X (ex Twitter) e LinkedIn, oltre a siti web e email appositamente progettati. È stato rilevato che il gruppo Lazarus ha rubato il codice sorgente di un gioco legittimo chiamato DeFiTankLand, utilizzandolo per avanzare i propri obiettivi malevoli.