Lỗ hổng trên Chrome được Lazarus khai tác để tấn công APT nhắm vào những nhà đầu tư tiền điện tử.
Tại Hội nghị Chuyên gia Phân tích An ninh mạng (SAS) 2024 ở Bali, Kaspersky đã công bố một phát hiện đáng chú ý về nhóm tin tặc Lazarus, được biết đến với những chiến dịch tấn công mạng tinh vi. Nhóm Lazarus đã triển khai một chiến dịch tấn công APT (Advanced Persistent Threat) nhắm vào các nhà đầu tư tiền điện tử bằng cách lợi dụng lỗ hổng trên trình duyệt Google Chrome, đánh cắp thông tin tài chính của nạn nhân thông qua một trang web giả mạo trò chơi tiền điện tử.
Chiến dịch mới nhất của Lazarus kết hợp kỹ thuật tấn công phi kỹ thuật và sử dụng trí tuệ nhân tạo (AI) nhằm tăng hiệu quả đánh lừa nạn nhân. Nhóm đã phát triển một trang web giả mạo mang tên NFT Tanks, đóng vai trò như một trò chơi điện tử để thu hút người chơi tham gia các “trận đấu toàn cầu”. Các tài khoản xã hội trên nền tảng X (trước đây là Twitter) và LinkedIn được nhóm tin tặc tạo lập nhằm quảng bá trò chơi, trong đó nhiều hình ảnh được AI tạo ra để tăng tính chân thực, đánh lừa người dùng về tính hợp pháp của trang web.
Khai thác lỗ hổng trên Chrome
Các nhà nghiên cứu của Kaspersky phát hiện Lazarus đã khai thác hai lỗ hổng trên Chrome. Một trong số đó là lỗ hổng “type confusion” với mã hiệu CVE-2024-4947, ảnh hưởng đến JavaScript và WebAssembly V8 của trình duyệt, cho phép tin tặc phát tán mã độc và vượt qua bảo mật của thiết bị mục tiêu. Ngoài ra, nhóm tin tặc còn khai thác một lỗ hổng trên Chrome nhằm vô hiệu hóa tính năng bảo vệ của V8 Sandbox, giúp các cuộc tấn công trở nên tinh vi hơn.
Sau khi Kaspersky báo cáo, Google đã phát hành bản vá để khắc phục lỗ hổng này. Tuy nhiên, Lazarus vẫn kịp tận dụng các lỗ hổng trên Chrome này để tiến hành các cuộc tấn công nhằm vào nhà đầu tư tiền điện tử.
Trang web giả mạo NFT Tanks không chỉ là một công cụ lừa đảo đơn thuần. Nhóm tin tặc đã tái tạo trò chơi với độ tinh xảo cao, sao chép mã nguồn gốc của trò chơi và chỉ thay đổi các chi tiết nhỏ như logo và chất lượng hình ảnh, khiến nạn nhân khó phát hiện. Theo các nhà nghiên cứu, sau khi bản giả mạo ra mắt, nhà phát triển trò chơi gốc đã báo cáo thiệt hại 20.000 USD từ tiền điện tử bị đánh cắp.
Ông Boris Larin, Trưởng nhóm Nghiên cứu Bảo mật của Kaspersky, nhận định: “Lazarus đã phát triển chiến dịch này một cách bài bản và hệ thống, vượt qua các phương pháp tấn công truyền thống. Chỉ với một cú nhấp chuột trên mạng xã hội, người dùng có thể khiến thiết bị của mình hoặc mạng lưới doanh nghiệp bị xâm nhập. Với việc tích hợp AI, khả năng triển khai những chiến dịch tấn công tinh vi của Lazarus càng đáng lo ngại.”
Các chuyên gia của Kaspersky cảnh báo rằng nhóm tin tặc này đang tiếp tục mở rộng phạm vi tấn công, tận dụng hình ảnh của những người có tầm ảnh hưởng trong lĩnh vực tiền điện tử để lan truyền chiến dịch, thậm chí tấn công trực tiếp vào tài khoản của những cá nhân này.
Sự kiện này một lần nữa nhấn mạnh sự nguy hiểm của các lỗ hổng zero-day và tầm quan trọng của việc cập nhật phần mềm bảo mật kịp thời. Các nhà đầu tư tiền điện tử và người dùng internet nói chung cần cảnh giác với các trang web lạ và luôn kiểm tra độ xác thực của các trò chơi điện tử cũng như ứng dụng tài chính trước khi tương tác.
Tại Hội nghị Chuyên gia Phân tích An ninh mạng (SAS) 2024 diễn ra ở Bali, các chuyên gia của Kaspersky đã trình bày chi tiết về chiến dịch tấn công APT này. Nếu muốn tìm hiểu sâu hơn, quý độc giả có thể tìm đọc tại Securelist.com.