假鏈遊真盜幣!北韓駭客 Lazarus 利用 Chrome「零日漏洞」誘騙加密資產
頻頻搞事的北韓駭客組織 Lazarus Group 先前就已竊取印度交易所 WazirX 近 2.3 億美元,接連又有幾樁竊取加密資產等相關案件,而這次 Lazarus 將魔手伸向區塊鏈遊戲。Lazarus 先創建一款假的鏈上遊戲,再利用 Google Chrome 的漏洞植入間諜軟體,成功竊取用戶的加密錢包憑證。電腦安全公司 Kaspersky 在今年 5 月發現此問題後已向 Google 報告,目前已修補漏洞。
假鏈上遊戲暗藏風險
Lazarus 推出了一款名為「DeTankZone」或「DeTankWar」的假鏈上遊戲,玩家可以使用 NFT 作為戰車與全球玩家比賽。
Source : 網路安全公司卡巴斯基 (Kaspersky)
Lazarus 模仿現有的鏈上遊戲「DeFiTankLand」,成功誘騙眾多用戶來下載,進而利用 Google Chrome 的漏洞來植入惡意軟體,竊取用戶的加密貨幣錢包憑證。
真鏈上遊戲:DeFiTankLand
Lazarus 還透過 LinkedIn 和推特等社群大力宣傳,還試圖聯繫在加密領域有影響力的 KOL,讓他們推廣他們的惡意網站。恐怖的是,即便玩家沒有下載遊戲,但只要瀏覽網站,電腦就可能被感染。
Source : 網路安全公司卡巴斯基 (Kaspersky)
利用 Chrome 漏洞植入惡意程式
Lazarus 透過一個名為「Manuscrypt」的惡意軟體,再利用 Chrome 瀏覽器中 JavaScript V8 engine 的「型別混淆漏洞」(Type Confusion) 來攻擊用戶,這是 Chrome 在 2024 年 5 月之前發現的第七個零日漏洞 (zero-day vulnerability)。
卡巴斯基於 Javascript 中找到的漏洞
什麼是零日漏洞與零日攻擊?
零日漏洞 (zero-day vulnerability) 指的是一個還沒被軟體開發者或網路安全專家發現,而且已被攻擊者利用的安全漏洞。由於開發者還沒來得及修補這個漏洞,攻擊者可以在「零日」的情況下攻擊,可稱為零日攻擊 (zero-day attack),並對目標系統、應用程式或設備造成危害。
以下為攻擊者通常使用零日漏洞來入侵並竊取用戶個資的步驟:
- 誘導安裝惡意軟體
- 進行遠端攻擊
- 控制系統、設備
- 竊取用戶數據或個資
微軟早在今年 2 月發現異常,Google 耗費十多天修補漏洞
早在今年 2 月,微軟 (Microsoft) 的安全團隊就注意到這款假遊戲,但當 Kaspersky 進行分析時,北韓駭客組織Lazarus 就已經移除網站中的漏洞程式碼。不過,Kaspersky 仍將此問題通報給 Google,Google 也在 Lazarus 再次利用這個漏洞之前完成修補,但花了 12 天才修補好這個漏洞。
Source: Microsoft ‘X
(ZachXBT揭露北韓駭客犯罪網路,佯裝開發者滲透團隊再捲款:月收50萬美元)
這篇文章 假鏈遊真盜幣!北韓駭客 Lazarus 利用 Chrome「零日漏洞」誘騙加密資產 最早出現於 鏈新聞 ABMedia。
免責聲明:文章中的所有內容僅代表作者的觀點,與本平台無關。用戶不應以本文作為投資決策的參考。
您也可能喜歡
澳洲聯邦法院推翻對加密貸款機構Block Earner的不利裁決,命令證券機構支付法律費用
快速摘要 澳洲高等法院得出結論,Block Earner的加密支持Earner產品未違反當地金融法規。澳洲證券和投資委員會(ASIC)提起的指控遭到駁回,並被命令承擔所有法律費用。
ZachXBT 質疑 Base 創作者幣熱潮:20 萬人交易,價值在哪?
Bitget 現貨槓桿新增 HYPER/USDT!
Galaxy Digital 將價值1.06億美元的ETH兌換成SOL,ETH主導地位降至歷史低點
快速摘要 Galaxy Digital 在過去兩週內以超過1億美元的ETH換取了SOL,據Lookonchain所述。這與今日較早時ETH主導地位降至歷史新低、跌至7%以下一致。
加密貨幣價格
更多
