Les chercheurs du GReAT (Global Research and Analysis Team) de Kaspersky ont découvert une campagne malveillante sophistiquée menée par le groupe APT Lazarus, ciblant les investisseurs en crypto-monnaies du monde entier. Les attaquants ont utilisé un site de phishing imitant un jeu vidéo permettant de gagner des crypto-monnaies, exploitant une vulnérabilité zero-day dans Google Chrome pour installer des logiciels espions et voler les informations d'identification des portefeuilles sur les appareils des victimes. Ces conclusions ont été présentées lors du Security Analyst Summit 2024 à Bali.
En mai 2024, les experts de Kaspersky, en analysant les incidents recensés dans la télémétrie de Kaspersky Security Network, ont identifié une attaque basée sur le malware Manuscrypt, utilisé par Lazarus depuis 2013 et documenté par le GReAT au travers de plus de 50 campagnes uniques ciblant diverses industries. Leurs travaux d’analyse ont mis au jour une campagne malveillante sophistiquée reposant essentiellement sur des techniques d'ingénierie sociale et sur l’IA générative pour cibler les investisseurs en crypto-monnaies.
Le groupe Lazarus est connu pour ses offensives très avancées sur les plateformes de crypto et a l'habitude d'utiliser des exploits zero-day. Cette nouvelle campagne suit le même schéma : l'acteur de la menace a exploité deux vulnérabilités, dont un bug de confusion jusqu’alors inconnu dans V8 (un moteur JavaScript et Webassembly open-source développé pour les navigateurs Google). Cette vulnérabilité zero-day a été corrigée sous le nom de CVE-2024-4947 après que Kaspersky l'ait signalée à Google. Elle permet aux attaquants d'exécuter du code arbitraire, de contourner les dispositifs de sécurité et de mener diverses activités malveillantes. Une autre vulnérabilité a été utilisée pour contourner la protection de la sandbox V8 de Google Chrome.
Les attaquants ont exploité cette vulnérabilité par le biais d'un faux site web de jeu invitant les utilisateurs à s'affronter à l'échelle mondiale avec des chars NFT. Le succès de la campagne s’explique par l’attention qu’ils ont porté aux détails, faisant paraître les offres promotionnelles figurant sur ces pages aussi authentiques que possible. Cela inclut la création de comptes de réseaux sociaux sur X et LinkedIn pour promouvoir le jeu pendant plusieurs mois, à renfort d’images générées par l'IA pour renforcer la crédibilité du jeu. Lazarus a réussi à intégrer l'IA générative dans ses opérations et les experts de Kaspersky s'attendent à ce que les pirates conçoivent des attaques encore plus sophistiquées à l'aide de cette technologie.
Les cybercriminels ont également tenté d'impliquer des influenceurs crypto dans la promotion du jeu, pour tirer parti de leur présence sur les réseaux sociaux non seulement pour distribuer le malware aussi largement que possible, mais aussi dans l’espoir de directement atteindre les comptes de crypto-monnaies de ces derniers.
« Bien que nous ayons déjà vu des acteurs APT chercher à tirer des gains financiers de leurs activités malveillantes, cette campagne est unique en son genre. Les attaquants sont allés au-delà des tactiques habituelles en utilisant un jeu entièrement fonctionnel comme couverture pour exploiter une vulnérabilité zero-day de Google Chrome et infecter les appareils ciblés. Avec des groupes notoires comme Lazarus, même des actions en apparence inoffensives, comme cliquer sur un lien posté sur un réseau social ou dans un mail, peuvent entraîner la compromission totale d'un ordinateur, voire d'un réseau d'entreprise entier. Les efforts considérables investis dans cette campagne suggèrent que Lazarus avait des plans ambitieux, et son impact pourrait être très conséquent, affectant potentiellement les utilisateurs et les entreprises dans le monde entier », a commenté Boris Larin, expert principal en sécurité au GReAT de Kaspersky.
Les experts de Kaspersky ont découvert un jeu légitime qui semblait être un prototype de la version utilisée dans la campagne. Peu après le lancement de la phase de promotion de leur jeu par les cybercriminels, les développeurs du vrai jeu ont affirmé que 20 000 dollars en crypto-monnaies avaient été transférés de leur portefeuille. Le logo et le design du faux jeu reflétaient étroitement l'original, ne différant que par l'emplacement du logo et sa qualité visuelle. Compte tenu de ces similitudes et des chevauchements dans le code, les experts de Kaspersky soulignent que les membres de Lazarus se sont donné beaucoup de mal pour donner de la crédibilité à leur attaque. Ils ont créé un faux jeu en utilisant le code source volé, en remplaçant les logos et toutes les références au jeu légitime pour renforcer l'illusion d'authenticité de leur version presque identique.
Les détails de cette campagne ont été présentés lors du Security Analyst Summit à Bali et le rapport complet est désormais disponible sur Securelist.
