Pro ty, kdo nejsou se skupinou Lazarus obeznámeni, jedná se o hackerskou skupinu s vazbami na severokorejský režim. Skupina je známá tím, že se zaměřuje hlavně na kryptoměnové firmy a jejich uživatele. Lazarus stojí za některými z největších kryptoměnových krádeží v historii, přičemž odcizené prostředky údajně slouží k financování severokorejské vlády a jejího zbrojního programu.

Lazarus Group se v průběhu let adaptovala a rozšiřovala své aktivity. V jejich repertoáru se často objevují útoky na finanční instituce, krádeže duševního vlastnictví a šíření ransomwaru. Nyní, jak ukazují poslední zjištění, skupina vsadila na nový trik — falešnou hru.

Kaspersky ve své zprávě upozornila na novou kampaň Lazarusu, která začala fungovat letos v únoru. Hackeři si vzali na mušku nadšence do decentralizovaných financí (DeFi) a vytvořili podvodný web, který se tváří jako oficiální stránka hry s názvem „DeTankZone“. Tato hra není ničím jiným než rebrandovanou verzí existující DeFi hry DeFiTankLand. Přestože na první pohled vypadá vše důvěryhodně, jedná se o další podvod.

Jakmile by uživatel navštívil tento falešný web a pokusil se hru stáhnout, zjistil by, že produkt je ve skutečnosti nefunkční a nefunguje ani za úvodní registrační obrazovkou. Celý web totiž slouží jen jako zástěrka pro spuštění skrytého skriptu (index.tsx), který zneužívá bezpečnostní chybu v prohlížeči Google Chrome.

Vstupní brána k datům obětí

Tento skript zneužívá zejména zranitelnost známou jako CVE-2024-4947. Jedná se o chybu typu „type confusion“ v JavaScriptovém enginu V8, který je součástí Chromu. Zneužití této chyby umožňuje hackerům narušit paměť prohlížeče a přepsat ji, čímž získají přístup k adresnímu prostoru s procesy. Tímto způsobem mohou Lazarus hackeři shromažďovat cookies, autentizační tokeny, historii prohlížení i uložená hesla.

Chrome V8 je sice umístěn v sandboxu a JavaScriptová exekuce je izolována od zbytku systému, to však hackery neoblomilo. Použili další zranitelnost, která jim umožnila spustit vzdálený kód na počítači oběti, čímž získali přístup k citlivým datům.

Kaspersky tento problém odhalila v polovině května 2024. Google pak zavčasu reagoval a již 25. května vydal záplatu, která chybu opravuje. Uživatelům, kteří chtějí minimalizovat riziko, odborníci doporučují aktualizovat svůj Chrome na verzi minimálně 125.0.6422.60/.61.