Los hackers del grupo Lazarus lo han vuelto a hacer, y esta vez están apuntando directo a tu navegador. Este grupo de hackers norcoreano ha sido acusado de aprovechar una vulnerabilidad de día cero (ahora parcheada) en Google Chrome para hacerse con el control de dispositivos infectados. Según Kaspersky, detectaron una nueva cadena de ataques en mayo de 2024, que afectó a la computadora personal de un ciudadano ruso. El ataque utilizó una puerta trasera conocida como Manuscrypt.
El truco para activar este exploit era sencillo: solo hacía falta visitar un sitio web de juegos falso, "detankzone[.]com", diseñado para engañar a personas involucradas en el mundo de las criptomonedas. Se cree que esta campaña maliciosa empezó en febrero de 2024.
Aparentemente, el sitio web parecía una página profesional para un juego de tanques estilo MOBA (arena de batalla multijugador), vinculado a NFTs y finanzas descentralizadas (DeFi). Los usuarios eran invitados a descargar una versión de prueba del juego, lo que desató el ataque, según explicaron los investigadores de Kaspersky.
Pero todo eso era solo una fachada. Detrás de ese sitio web aparentemente inofensivo, se ocultaba un script malicioso que se ejecutaba en Google Chrome, aprovechando una vulnerabilidad de día cero para darle a los atacantes control total sobre el ordenador de la víctima.
La vulnerabilidad que explotaron, identificada como CVE-2024-4947, era un fallo en el motor de JavaScript V8 y WebAssembly, que Google corrigió en mayo de 2024. Básicamente, este error permitía a los atacantes ejecutar código malicioso directamente en el navegador.
El truco de usar un juego falso de tanques, como DeTankWar o TankWarsZone, para distribuir malware no es nuevo. De hecho, Microsoft ya había vinculado esta táctica a otro grupo de hackers norcoreanos llamado Moonstone Sleet. Lo que hacían era acercarse a sus objetivos a través de correos electrónicos o mensajes, fingiendo ser una empresa de blockchain o un desarrollador de videojuegos, y convenciendo a las víctimas para que instalaran el supuesto juego.
Lo que descubrió Kaspersky aporta más información sobre cómo funcionaba el ataque. El exploit en el navegador no solo permitía a los hackers acceder al espacio de direcciones del proceso Chrome (gracias a CVE-2024-4947), sino que también lograban escapar del sandbox de Chrome.
El truco estaba en que la máquina virtual de Chrome usa una serie de registros para almacenar datos, y los hackers encontraron una forma de manipular esos registros, accediendo a la memoria fuera de los límites permitidos. Esto les daba aún más control y permitía que el ataque fuera extremadamente efectivo.
Google solucionó el problema del sandbox de V8 en marzo de 2024, después de que alguien reportara el error el 20 de ese mismo mes. Sin embargo, no está claro si los hackers lo encontraron antes y lo explotaron como un día cero, o si simplemente lo aprovecharon después de que ya se conocía, como una vulnerabilidad de día N.
Una vez que explotaban la falla, el atacante ejecutaba un "validador", que básicamente es un código shell diseñado para recolectar información del sistema. Esto les ayudaba a decidir si la máquina infectada valía la pena para seguir adelante con el ataque. Todavía no está claro qué tipo de malware o carga se enviaba después de esta etapa.
Algo que destaca es el esfuerzo que el grupo Lazarus pone en sus campañas de ingeniería social. Según Kaspersky, este grupo ha contactado a personas influyentes en el mundo de las criptomonedas, intentando que promuevan su sitio web malicioso. A lo largo de varios meses, los atacantes crearon una presencia en redes sociales, publicando regularmente en X (antes conocido como Twitter), desde varias cuentas, y promocionando su falso juego utilizando contenido creado por IA generativa y diseñadores gráficos.
Su actividad ha sido vista en plataformas como X y LinkedIn, además de los sitios web que crearon específicamente para esta estafa y los correos electrónicos que enviaron a sus objetivos.
En uno de sus sitios, incluso invitan a los usuarios a descargar un archivo ZIP, "detankzone.zip". Una vez descomprimido, parece un juego legítimo que funciona perfectamente, y que incluso te pide registrarte como jugador. Pero detrás de esto, se esconde un cargador malicioso conocido como YouieLoad, según un informe anterior de Microsoft.
Además, se sospecha que Lazarus robó el código fuente de un juego legítimo de blockchain llamado DeFiTankLand (DFTL), un juego del tipo play-to-earn (P2E) que también fue atacado en marzo de 2024, lo que resultó en el robo de 20,000 dólares en criptomonedas DFTL2. Aunque los desarrolladores culparon a un trabajador interno, se cree que fue el grupo Lazarus quien estaba detrás del ataque, no solo robando las monedas, sino también reutilizando el código del juego para sus propios fines.
Lazarus es conocido por ser uno de los grupos de hackers más activos y sofisticados, y el dinero sigue siendo una de sus principales motivaciones. Según los investigadores, sus tácticas están en constante evolución, y han comenzado a usar herramientas avanzadas como IA generativa para hacer sus estafas más creíbles. No sería sorprendente que veamos ataques aún más elaborados con esta tecnología en el futuro.
Podría interesarte leer: Inteligencia Artificial: Nuevo motor detrás del Auge de Ransomware
El grupo Lazarus sigue demostrando que no solo es uno de los actores más peligrosos en el mundo de la ciberseguridad, sino también uno de los más ingeniosos. Con la capacidad de aprovechar vulnerabilidades en plataformas populares como Google Chrome, y usando técnicas avanzadas de ingeniería social y herramientas como la IA generativa, su alcance y sofisticación no dejan de crecer.
Es fundamental estar siempre al tanto de las últimas amenazas y mantener una postura proactiva en cuanto a la seguridad digital. Asegúrarte de actualizar tus dispositivos, usar contraseñas seguras, y ser cauteloso con los correos o enlaces sospechosos, es crucial. En un entorno donde los hackers como Lazarus perfeccionan continuamente sus técnicas, la mejor defensa es estar preparado y ser consciente de los riesgos.