Kuzey Koreli hacker'lar, sahte oyunla Chrome kullananları vurdu

Kuzey Koreli ünlü siber suç grubu Lazarus, bu sefer de sahte bir oyunu kullanarak kurbanları kendine çekmeyi başardı. Kurbanların ortak özelliği ize, Chrome kullanmalarıydı.

Kuzey Koreli hacker'lar, sahte oyunla Chrome kullananları vurdu

Kuzey Koreli ünlü Lazarus siber suç çetesinin, “çalıntı” bir bilgisayar oyunuyla kripto para birimi kullanıcılarını hedef aldığı ortaya çıkartıldı. Tarihin en büyük kripto soygunlarından bazılarından sorumlu olan grubun, Kuzey Kore devleti tarafından desteklendiği ve “ganimetlerinin” ülkenin hükümetine ve silah programına destek için kullanıldığı iddia ediliyor.

Kaspersky siber güvenlik araştırmacıları, kısa bir süre önce insanları bir web sitesine çekmek için sahte bir oyun kullanan yeni bir kampanya keşfetti. Lazarus, web sitesini Chrome tarayıcısındaki iki güvenlik açığından yararlanmak ve cihazdan hassas verileri çalmak için kullanıyor.

Kaspersky, dolandırıcıların DeFiTankLand olarak bilinen bir DeFi (merkezi olmayan finans) oyununu kullandığını ve oyunu basit bir şekilde DeTankZone olarak yeniden adlandırdığını söylüyor. Sahte siteyi ziyaret eden ve oyunu indirmeye çalışan kullanıcılar, oturum açma / kayıt ekranından sonra çalışmayan bir ürünle karşılaşıyor. Ancak web sitesini ziyaret ederken, gizli bir kod satırı güvenlik açığı için bir istismarı tetikliyor.

Chrome’un JavaScript motoru olan V8’de keşfedilen bu güvenlik açığı, istismar edildiği durumda, tarayıcının belleğini bozarak ve üzerine yazarak, dolandırıcılara Chrome işleminin adres alanına erişim izni veriyor. Bu da, çerezleri, kimlik doğrulama belirteçlerini, tarama geçmişini ve kaydedilmiş parolaları ele geçirmelerine imkan tanıyor.

Kaspersky, Chrome’un V8’i bir sanal alanda olduğundan ve JavaScript yürütmesi sistemin geri kalanından izole edildiğinden dolayı, Lazarus’un uzaktan kod yürütme için farklı bir güvenlik açığı kullanmış olabileceğini de belirtiyor.

Araştırmacılar, açığı 2024 Mayıs ortasında tespit etti ve Google, iki hafta sonra, 25 Mayıs’ta bir düzeltme yayınladı. Bu arada kaç kişinin bu saldırıdan etkilendiği ise belli değil.