Nhóm Lazarus lợi dụng lỗi Chrome với trò NFT giả!
Một nhóm hacker Triều Tiên mang tên Lazarus đã tận dụng lỗ hổng zero-day trong trình duyệt Chrome của Google bằng cách sử dụng một trò chơi giả mạo dựa trên blockchain để cài đặt phần mềm gián điệp, đánh cắp thông tin ví điện tử. Các nhà phân tích của Kaspersky Labs đã phát hiện ra thủ đoạn này vào tháng 5 và báo cáo cho Google, sau đó đã khắc phục.
Chơi trong rủi ro lớn
Trò chơi chiến đấu trực tuyến đa người chơi, được quảng bá rộng rãi trên LinkedIn và X, có tên là DeTankZone hoặc DeTankWar, sử dụng Token không thể thay thế (NFT) làm xe tăng trong các cuộc thi toàn cầu. Ngay cả khi không tải trò chơi xuống, người dùng vẫn bị nhiễm từ trang web. Hacker đã mô phỏng trò chơi theo DeFiTankLand.
Những hacker này sử dụng phần mềm độc hại có tên Manuscrypt, kèm theo một lỗi “type confusion” chưa từng được biết đến trong công cụ V8 JavaScript. Đây là lỗ hổng zero-day thứ 7 được tìm thấy trong Chrome vào năm 2024 cho đến giữa tháng 5.
Boris Larin, chuyên gia an ninh hàng đầu của Kaspersky, cho biết:
“Nỗ lực đáng kể đầu tư vào chiến dịch này thể hiện rằng họ có kế hoạch đầy tham vọng, và tác động thực tế có thể rộng lớn hơn nhiều, ảnh hưởng tiềm tàng đến người dùng và doanh nghiệp toàn cầu.”
Trò chơi giả mạo này đã được Microsoft Security chú ý vào tháng 2. Trước khi Kaspersky có thể phân tích, tin tặc đã loại bỏ lỗ hổng khỏi website. Tuy nhiên, phòng thí nghiệm vẫn thông báo cho Google và lỗi đã được sửa chữa trước khi các hacker có thể tái sử dụng.
Ảnh chụp màn hình từ trò chơi giả của Lazarus Group. Nguồn: SecureList
Triều Tiên yêu thích Tiền Điện Tử
Lỗ hổng zero-day khiến nhà cung cấp bất ngờ và không có bản vá sẵn sàng. Vì vậy, Google mất 12 ngày để khắc phục lỗ hổng này. Một lỗ hổng zero-day khác trong Chrome đã bị một nhóm hacker Triều Tiên khác khai thác để nhắm vào các chủ sở hữu Tiền Điện Tử đầu năm nay.
Nguồn: Microsoft Threat Intelligence
Nhóm Lazarus đặc biệt yêu thích Tiền Điện Tử. Từ năm 2020 đến 2023, nhóm này đã rửa Tiền Điện Tử trị giá hơn 200 triệu USD từ 25 vụ tấn công, theo dõi từ chuyên gia tội phạm Tiền Điện Tử ZachXBT.
Bộ Tài chính Hoa Kỳ cũng cáo buộc nhóm Lazarus đứng sau vụ tấn công Ronin Bridge, thu lợi hơn 600 triệu USD Tiền Điện Tử vào năm 2022.
Công ty an ninh mạng Hoa Kỳ Recorded Future phát hiện rằng các hacker Triều Tiên đã đánh cắp hơn 3 tỷ USD Tiền Điện Tử từ năm 2017 đến 2023.
Tin Tức Bitcoin tổng hợp
Tuyên bố miễn trừ trách nhiệm: Mọi thông tin trong bài viết đều thể hiện quan điểm của tác giả và không liên quan đến nền tảng. Bài viết này không nhằm mục đích tham khảo để đưa ra quyết định đầu tư.
Bạn cũng có thể thích
Messari: Cập nhật chính về tình hình mạng Akash quý 3
Trader mất 26 triệu USD do lỗi sao chép cảm thấy ‘cực kỳ đau đớn’
Donald Trump sẽ bổ nhiệm các ứng viên ủng hộ tiền điện tử vào các vị trí quan trọng
Donald Trump tìm cách thực hiện lời hứa biến Mỹ thành "thủ đô tiền điện tử của hành tinh." Các cố vấn của Trump đang tìm kiếm nhân sự ủng hộ tiền điện tử cho các cơ quan liên bang. Các cố vấn cũng đang thảo luận với những người ủng hộ nổi bật trong ngành về các chính sách ủng hộ tiền điện tử.
Kế hoạch tích trữ Bitcoin của Trump: Dự trữ Hoa Kỳ có thể nắm giữ 1 triệu BTC
Thượng nghị sĩ Cynthia Lummis tự tin về một Đạo luật Bitcoin sắp tới. Cần có sự ủng hộ từ cả hai đảng để hiện thực hóa Dự trữ Bitcoin Chiến lược. Dự luật của Thượng nghị sĩ Lummis phù hợp với mục tiêu Bitcoin của Donald Trump.