أطلقت مجموعة لازاروس الكورية الشمالية المعروفة بعملياتها السيبرانية هجومًا متطورًا يستهدف مستثمري العملات المشفرة ( cryptocurrency investors)، وكشفت باحثو كاسبرسكي (Kaspersky) أن هذه الحملة الأخيرة استغلت ثغرة خطيرة في متصفح Google Chrome لإنشاء لعبة NFT وهمية باسم “DeTankZone”، لجذب الضحايا غير المنتبهين إلى فخ خطير.
هجوم مجموعة لازاروس لاستهداف مستثمري العملات المشفرة
بدأ الهجوم في فبراير 2024 وتم اكتشافه عندما رصدت كاسبرسكي نوعًا جديدًا من برمجيات “مانوسكريبت” الضارة على جهاز كمبيوتر لمواطن روسي. صمم فريق الهجوم موقعًا يبدو شرعيًا يروج للعبة ساحة معركة متعددة اللاعبين عبر الإنترنت، تجمع بين عناصر التمويل اللامركزي (DeFi) و NFTs. قدمت اللعبة نسخة تجريبية قابلة للتنزيل مع حملة تسويقية قوية شملت رسومات متقنة وترويج على وسائل التواصل الاجتماعي، مما جعل الموقع يبدو موثوقًا.
لكن في الواقع، كان الموقع يحتوي على شيفرة خبيثة مخفية تستغل ثغرة يوم الصفر في Chrome، والمعروفة باسم CVE-2024-4947، وفقًا للتقارير المحلية. مكنت هذه الثغرة المهاجمين من السيطرة على جهاز الضحية والوصول إلى بيانات حساسة مثل الكوكيز وكلمات المرور المحفوظة وحتى المعلومات المصرفية، وأفادت كاسبرسكي أن هذا الاستغلال يمكنه تجاوز حماية V8 في Chrome، وهذا يسمح بتنفيذ أكواد عن بُعد ويمهد لإمكانية القيام بأنشطة ضارة إضافية.
استعانت مجموعة لازاروس (Lazarus Group) بتقنيات الهندسة الاجتماعية المتقدمة، مستخدمة منصات مثل X و LinkedIn للوصول إلى ضحاياها، وقام المهاجمون بتمثيل شركات بلوكتشين موثوقة أو مطوري ألعاب يبحثون عن استثمارات، وهذا أضفى مزيدًا من المصداقية على رسائلهم.
من المثير للاهتمام أن المجموعة يبدو أنها استخدمت رمزًا من لعبة مشروعة تُدعى “DeFiTankLand”، والتي تعرضت أيضًا لخرق أمني في وقت سابق من هذا العام أسفر عن سرقة عملات مشفرة بقيمة 20,000 دولار. يثير هذا التساؤلات حول التهديدات الداخلية، حيث يبدو أن لازاروس قد تكون مسؤولة عن السرقة الأصلية والحملة الخادعة الحالية.
