Lazarus explota una vulnerabilidad de día cero en Chrome para robar tus criptomonedas

El grupo Lazarus, conocido por sus ciberataques sofisticados, ha lanzado una nueva campaña maliciosa dirigida a inversores en criptomonedas, utilizando un juego falso en línea para robar criptomonedas.

Según el equipo de Investigación y Análisis Global de Kaspersky (GReAT), Lazarus explotó una vulnerabilidad de día cero en Google Chrome para acceder a los monederos de criptomonedas de sus víctimas, en una operación que también integró elementos de ingeniería social y tecnología de inteligencia artificial generativa para engañar a los usuarios.

Lazarus APT roba criptomonedas usando vulnerabilidad de día cero en Chrome y un juego cripto falso.

El ataque se identificó en mayo de 2024, cuando Kaspersky analizó un incidente que involucraba el malware Manuscrypt, el cual Lazarus ha utilizado en más de 50 campañas previas. Al profundizar en el caso, los expertos descubrieron que los atacantes habían creado un sitio web falso de un criptojuego. Mismo que invitaba a los usuarios a competir con tanques NFT en un entorno virtual.

Este sitio, diseñado para parecer legítimo, explotaba una vulnerabilidad de confusión de tipos en V8, el motor de JavaScript de Google Chrome. La vulnerabilidad, etiquetada como CVE-2024-4947, permitía ejecutar código malicioso en las máquinas de los usuarios, eludiendo las protecciones de seguridad del navegador. Google corrigió esta falla tras ser notificada por Kaspersky, aunque el ataque ya había logrado comprometer la seguridad de varios inversores.

Lea más: 10 consejos básicos de seguridad para criptomonedas

Por si fuera poco, aunque Google ya corrigió la vulnerabilidad específica (CVE-2024-4947) utilizada en esta campaña, eso no garantiza que otros ataques no puedan ocurrir en el futuro. Las vulnerabilidades de día cero son particularmente problemáticas. Esto porque, al ser desconocidas para el público y las empresas de seguridad en el momento de su explotación, pueden permanecer activas hasta que se descubran y parcheen.

Los ciberdelincuentes, especialmente grupos avanzados como Lazarus, constantemente buscan y explotan nuevas fallas de seguridad en software popular, como Chrome.

La estrategia de Lazarus se enfocó en crear una campaña publicitaria creíble para promocionar el juego falso. Para lograr esto, los atacantes crearon cuentas en redes sociales como X y LinkedIn, difundiendo publicaciones con imágenes generadas por inteligencia artificial para aumentar la autenticidad del contenido.

Esta táctica, inédita en campañas de cibercrimen, logró atraer a muchos inversores que confiaron en el aparente respaldo en redes sociales. Además, los atacantes intentaron involucrar a influencers de criptomonedas para amplificar el alcance de la campaña. Esto buscando no solo distribuir la amenaza, sino también apuntar directamente a las cuentas de criptomonedas de los usuarios.

Ataque de Lazarus señala vulnerabilidades en Chrome y nuevas formas de robar criptomonedas.

Boris Larin, experto en seguridad de Kaspersky GReAT, comentó que esta operación destaca por el alto grado de detalle y sofisticación en su ejecución.

“Lazarus fue más allá de las tácticas usuales al usar un juego completamente funcional como fachada para explotar una vulnerabilidad de día cero en Google Chrome. Clics en enlaces aparentemente inocuos, ya sea en redes sociales o en correos electrónicos, podrían comprometer seriamente los sistemas personales o corporativos de los usuarios”.

Los investigadores también detectaron que los atacantes habían clonado el diseño de un juego legítimo, haciendo pequeños ajustes en el logotipo y la apariencia visual.

Leer más: Estafas de criptomonedas en España y LATAM en 2024

Esta falsificación fue tan detallada que lograron que el juego pareciera completamente original. Aunque las similitudes de código entre ambas versiones dejaron en claro que Lazarus había usado código fuente robado para crear su imitación. Durante la campaña, se transfirieron $20,000 dólares en criptomonedas desde la billetera del juego real, lo que provocó la alerta de sus desarrolladores.

La operación de Lazarus es un recordatorio sobre los crecientes riesgos en el mundo de las criptomonedas, donde las amenazas evolucionan rápidamente. Los expertos de Kaspersky anticipan que los ciberdelincuentes, aprovechando herramientas como la inteligencia artificial generativa, continuarán innovando en sus ataques, presentando un desafío cada vez mayor para la seguridad de los inversores.