El grupo de hackers norcoreano Lazarus ha aprovechado una vulnerabilidad de día cero en Google Chrome, identificada como CVE-2024-4947, utilizando un juego falso de finanzas descentralizadas (DeFi) para atacar a usuarios en el ámbito de las criptomonedas. Este ciberataque pone de manifiesto la creciente sofisticación de las tácticas de los cibercriminales.
Origen y Descubrimiento
Kaspersky, una destacada firma de ciberseguridad, detectó la campaña el 13 de mayo de 2024, tras identificar una nueva variante del malware “Manuscrypt” en la computadora personal de uno de sus clientes en Rusia. Esta campaña comenzó en febrero de 2024, lo que sugiere una planificación y ejecución meticulosas por parte de Lazarus.
El Juego Falso
Los hackers promovieron un juego en línea llamado DeTankZone, una versión robada y renombrada de un juego legítimo, DeFiTankLand. Utilizando tácticas de publicidad en redes sociales y correos electrónicos de phishing, lograron atraer a víctimas potenciales. Sin embargo, al intentar acceder al juego, los usuarios se encontraban con un sistema que no funcionaba más allá de la pantalla de inicio de sesión, ya que la infraestructura backend había sido desactivada.
Mecanismo de Ataque
El verdadero ataque se llevó a cabo en el sitio web “detankzone[.]com”, que contenía un script oculto diseñado para explotar la vulnerabilidad de Chrome. Al aprovechar un tipo de confusión en el motor Javascript V8 de Chrome, los atacantes corrompieron la memoria del navegador, accediendo a información sensible como cookies, tokens de autenticación, contraseñas guardadas e historial de navegación.
Ejecución Remota de Código
Lazarus utilizó una segunda vulnerabilidad en V8 para escapar de la sandbox de Chrome, logrando la ejecución remota de código y permitiendo a los atacantes realizar un reconocimiento del sistema comprometido. Este shellcode recopilaba información crítica del sistema, como CPU, BIOS y sistema operativo, enviando los datos a un servidor de comando y control (C2) de Lazarus.
Riesgos para los Usuarios de Criptomonedas
Se cree que el objetivo final de esta campaña es el robo de criptomonedas. La complejidad de la explotación y la elección del objetivo indican un nivel alto de sofisticación en la planificación del ataque. Los usuarios en el espacio de criptomonedas deben ser especialmente cautelosos, ya que estos métodos de ataque están en aumento.
Recomendaciones de Seguridad
- Actualizaciones Regulares: Asegúrese de mantener Google Chrome y otras aplicaciones actualizadas para protegerse contra vulnerabilidades conocidas.
- Educación del Usuario: Promueva la conciencia sobre el phishing y las tácticas de ingeniería social.
- Uso de Herramientas de Seguridad: Considere el uso de software de seguridad confiable que incluya detección de malware y protección en tiempo real.
Este incidente es un claro recordatorio de la necesidad de un enfoque proactivo en la ciberseguridad, especialmente en un entorno digital donde las amenazas evolucionan constantemente. La vigilancia y la educación son las mejores defensas contra estos ataques sofisticados.
