Tin tặc Lazarus khai thác lỗ hổng zero-day của Chrome để đánh cắp tiền điện tử

12:28, 05/11/2024

Hãng bảo mật Kaspersky cho biết, nhóm tin tặc APT của Triều Tiên là Lazarus đã tạo ra một trang web lừa đảo khai thác lỗ hổng zero-day trên Google Chrome để cài đặt phần mềm độc hại, từ đó đánh cắp tiền điện tử.

Còn được biết đến với cái tên Hidden Cobra và hoạt động ít nhất từ ​​năm 2009, Lazarus được cho là nhận được sự hậu thuẫn của Chính phủ Triều Tiên và nhóm tin tặc này đã thực hiện nhiều cuộc tấn công mạng đánh cắp thông tin và cài cắm phần mềm độc hại.

Trong nhiều năm qua, Lazarus đã tập trung nhiều vào các sàn giao dịch và người dùng tiền điện tử. Các tin tặc được cho là đã đánh cắp hơn 1 tỷ USD tài sản tiền điện tử vào năm 2023 và hơn 1,7 tỷ USD vào năm 2022.

Tin tặc Lazarus khai thác lỗ hổng zero-day của Chrome để đánh cắp tiền điện tử.

Cuộc tấn công được Kaspersky báo cáo đã sử dụng một trang web trò chơi tiền điện tử giả mạo để khai thác lỗ hổng CVE-2024-4947, đây là lỗ hổng type confusion nghiêm trọng trong engine V8 Javascript và WebAssembly đã được vá trong phiên bản Chrome 125 vào tháng 5/2024. Được biết, lỗ hổng type confusion xuất hiện khi một chương trình cố gắng truy cập tài nguyên không tương thích, cho phép kẻ tấn công truy cập bộ nhớ ngoài giới hạn và thực thi mã tùy ý.

“CVE-2024-4947 cho phép kẻ tấn công thực thi mã tùy ý, bypass các tính năng bảo mật và thực hiện nhiều hoạt động độc hại khác nhau. Một lỗ hổng khác đã được sử dụng để bypass tính năng bảo vệ sandbox V8 của Google Chrome”, Kaspersky cho biết.

Việc thiếu kiểm tra để lưu trữ các bản phát hành mô-đun đã cho phép kẻ tấn công điều chỉnh và thiết lập riêng cho một đối tượng object cụ thể, từ đó gây nhầm lẫn giữa giá trị tồn tại trong bộ nhớ và kiểu dữ liệu của nó, dẫn đến hỏng bộ nhớ dữ liệu, giành được quyền truy cập đọc/ghi vào toàn bộ không gian địa chỉ của tiến trình Chrome.

Như đã đề cập, bên cạnh CVE-2024-4947, các tin tặc còn khai thác một lỗ hổng khác để bypass tính năng bảo vệ sandbox V8 của Google Chrome. Sự cố này đã được giải quyết vào tháng 3/2024.

Sau đó, kẻ tấn công thực thi shellcode để thu thập thông tin hệ thống và xác định xem có nên triển khai payload giai đoạn tiếp theo hay không. Mục đích của cuộc tấn công là triển khai phần mềm độc hại vào hệ thống của nạn nhân và đánh cắp tiền điện tử từ ví của họ.

Theo Kaspersky, cuộc tấn công này không chỉ cho thấy Lazarus hiểu sâu sắc cách Chrome hoạt động mà còn cho thấy nhóm tin tặc này tập trung vào việc tối đa hóa hiệu quả của chiến dịch.

Trang web đã mời người dùng tham gia một trò chơi NFT tanks và được kèm theo các tài khoản mạng xã hội trên X (trước đây là Twitter) và LinkedIn đã quảng bá trò chơi trong nhiều tháng. Những kẻ tấn công cũng sử dụng AI tạo sinh và cố gắng thu hút những người có ảnh hưởng về tiền điện tử để quảng bá trò chơi.

Trang web trò chơi giả mạo của Lazarus dựa trên một trò chơi hợp pháp, mạo danh logo và thiết kế của trò chơi này, có khả năng được xây dựng bằng mã nguồn bị đánh cắp. Ngay sau khi tin tặc Lazarus bắt đầu quảng bá trang web giả mạo, các nhà phát triển trò chơi hợp pháp cho biết 20.000 USD tiền điện tử đã bị đánh cắp.