Nhóm Lazarus lợi dụng lỗi Chrome với trò NFT giả!
Một nhóm hacker Triều Tiên mang tên Lazarus đã tận dụng lỗ hổng zero-day trong trình duyệt Chrome của Google bằng cách sử dụng một trò chơi giả mạo dựa trên blockchain để cài đặt phần mềm gián điệp, đánh cắp thông tin ví điện tử. Các nhà phân tích của Kaspersky Labs đã phát hiện ra thủ đoạn này vào tháng 5 và báo cáo cho Google, sau đó đã khắc phục.
Chơi trong rủi ro lớn
Trò chơi chiến đấu trực tuyến đa người chơi, được quảng bá rộng rãi trên LinkedIn và X, có tên là DeTankZone hoặc DeTankWar, sử dụng Token không thể thay thế (NFT) làm xe tăng trong các cuộc thi toàn cầu. Ngay cả khi không tải trò chơi xuống, người dùng vẫn bị nhiễm từ trang web. Hacker đã mô phỏng trò chơi theo DeFiTankLand.
Những hacker này sử dụng phần mềm độc hại có tên Manuscrypt, kèm theo một lỗi “type confusion” chưa từng được biết đến trong công cụ V8 JavaScript. Đây là lỗ hổng zero-day thứ 7 được tìm thấy trong Chrome vào năm 2024 cho đến giữa tháng 5.
Boris Larin, chuyên gia an ninh hàng đầu của Kaspersky, cho biết:
“Nỗ lực đáng kể đầu tư vào chiến dịch này thể hiện rằng họ có kế hoạch đầy tham vọng, và tác động thực tế có thể rộng lớn hơn nhiều, ảnh hưởng tiềm tàng đến người dùng và doanh nghiệp toàn cầu.”
Trò chơi giả mạo này đã được Microsoft Security chú ý vào tháng 2. Trước khi Kaspersky có thể phân tích, tin tặc đã loại bỏ lỗ hổng khỏi website. Tuy nhiên, phòng thí nghiệm vẫn thông báo cho Google và lỗi đã được sửa chữa trước khi các hacker có thể tái sử dụng.
Ảnh chụp màn hình từ trò chơi giả của Lazarus Group. Nguồn: SecureList
Triều Tiên yêu thích Tiền Điện Tử
Lỗ hổng zero-day khiến nhà cung cấp bất ngờ và không có bản vá sẵn sàng. Vì vậy, Google mất 12 ngày để khắc phục lỗ hổng này. Một lỗ hổng zero-day khác trong Chrome đã bị một nhóm hacker Triều Tiên khác khai thác để nhắm vào các chủ sở hữu Tiền Điện Tử đầu năm nay.
Nguồn: Microsoft Threat Intelligence
Nhóm Lazarus đặc biệt yêu thích Tiền Điện Tử. Từ năm 2020 đến 2023, nhóm này đã rửa Tiền Điện Tử trị giá hơn 200 triệu USD từ 25 vụ tấn công, theo dõi từ chuyên gia tội phạm Tiền Điện Tử ZachXBT.
Bộ Tài chính Hoa Kỳ cũng cáo buộc nhóm Lazarus đứng sau vụ tấn công Ronin Bridge, thu lợi hơn 600 triệu USD Tiền Điện Tử vào năm 2022.
Công ty an ninh mạng Hoa Kỳ Recorded Future phát hiện rằng các hacker Triều Tiên đã đánh cắp hơn 3 tỷ USD Tiền Điện Tử từ năm 2017 đến 2023.
Tin Tức Bitcoin tổng hợp
Tuyên bố miễn trừ trách nhiệm: Mọi thông tin trong bài viết đều thể hiện quan điểm của tác giả và không liên quan đến nền tảng. Bài viết này không nhằm mục đích tham khảo để đưa ra quyết định đầu tư.
Bạn cũng có thể thích
Thành viên Hội đồng New York đề xuất sử dụng blockchain để đảm bảo 'sự thật không bị kiểm duyệt' trong các cuộc bầu cử
Tóm tắt nhanh Một đề xuất nghiên cứu vai trò tiềm năng của blockchain trong việc bỏ phiếu của bang đã được giới thiệu tại Ủy ban Luật Bầu cử của Hội đồng New York vào ngày 8 tháng 4. Một số khu vực pháp lý của Hoa Kỳ đã cân nhắc các trường hợp sử dụng công nghệ phi tập trung khác nhau, bao gồm cả đầu tư và thanh toán.
Binance ra mắt LDUSDT, tài sản ký quỹ mang lại phần thưởng thứ hai cho nền tảng hợp đồng tương lai của mình
Tóm tắt nhanh Người dùng Binance giờ đây có thể giao dịch hợp đồng tương lai và vẫn kiếm được phần thưởng với USDT bị khóa của họ bằng cách sử dụng LDUSDT. LDUSDT theo sau BFUSD như là động thái mới nhất của Binance để kết hợp tạo lợi nhuận với thanh khoản giao dịch.
Taurus ra mắt mạng lưới tài sản kỹ thuật số liên ngân hàng Taurus-NETWORK
Thịnh hành
ThêmGiá tiền điện tử
Thêm
