Kuzey Koreli hacker’lar, geçersiz oyunla Chrome kullananları vurdu

Kuzey Koreli ünlü Lazarus siber suç çetesinin, “çalıntı” bir bilgisayar oyunuyla kripto para ünitesi kullanıcılarını hedef aldığı ortaya çıkartıldı. Tarihin en büyük kripto soygunlarından kimilerinden sorumlu olan kümenin, Kuzey Kore devleti tarafından desteklendiği ve “ganimetlerinin” ülkenin hükümetine ve silah programına destek için kullanıldığı iddia ediliyor.

Kaspersky siber güvenlik araştırmacıları, kısa bir süre önce insanları bir web sitesine çekmek için geçersiz bir oyun kullanan yeni bir kampanya keşfetti. Lazarus, web sitesini Chrome tarayıcısındaki iki güvenlik açığından yararlanmak ve aygıttan hassas dataları çalmak için kullanıyor.

Kaspersky, dolandırıcıların DeFiTankLand olarak bilinen bir DeFi (merkezi olmayan finans) oyununu kullandığını ve oyunu kolay bir şekilde DeTankZone olarak yeniden isimlendirdiğini söylüyor. Düzmece siteyi ziyaret eden ve oyunu indirmeye çalışan kullanıcılar, oturum açma / kayıt ekranından sonra çalışmayan bir eserle karşılaşıyor. Fakat web sitesini ziyaret ederken, bâtın bir kod satırı güvenlik açığı için bir istismarı tetikliyor.

Chrome’un JavaScript motoru olan V8’de keşfedilen bu güvenlik açığı, istismar edildiği durumda, tarayıcının belleğini bozarak ve üzerine yazarak, dolandırıcılara Chrome sürecinin adres alanına erişim müsaadesi veriyor. Bu da, çerezleri, kimlik doğrulama belirteçlerini, tarama geçmişini ve kaydedilmiş parolaları ele geçirmelerine fırsat tanıyor.

Kaspersky, Chrome’un V8’i bir sanal alanda olduğundan ve JavaScript yürütmesi sistemin geri kalanından izole edildiğinden ötürü, Lazarus’un uzaktan kod yürütme için farklı bir güvenlik açığı kullanmış olabileceğini de belirtiyor.

Araştırmacılar, açığı 2024 Mayıs ortasında tespit etti ve Google, iki hafta sonra, 25 Mayıs’ta bir düzeltme yayınladı. Bu ortada kaç kişinin bu hücumdan etkilendiği ise belli değil.