假鏈遊真盜幣!北韓駭客 Lazarus 利用 Chrome「零日漏洞」誘騙加密資產
支付動態 · 2024-10-24

假鏈遊真盜幣!北韓駭客 Lazarus 利用 Chrome「零日漏洞」誘騙加密資產

頻頻搞事的北韓駭客組織 Lazarus Group 先前就已竊取印度交易所 WazirX 近 2.3 億美元,接連又有幾樁竊取加密資產等相關案件,而這次 Lazarus 將魔手伸向區塊鏈遊戲。Lazarus 先創建一款假的鏈上遊戲,再利用 Google Chrome 的漏洞植入間諜軟體,成功竊取用戶的加密錢包憑證。電腦安全公司 Kaspersky 在今年 5 月發現此問題後已向 Google 報告,目前已修補漏洞。

Table of Contents

假鏈上遊戲暗藏風險

Lazarus 推出了一款名為「DeTankZone」或「DeTankWar」的假鏈上遊戲,玩家可以使用 NFT 作為戰車與全球玩家比賽。

Lazarus 模仿現有的鏈上遊戲「DeFiTankLand」,成功誘騙眾多用戶來下載,進而利用 Google Chrome 的漏洞來植入惡意軟體,竊取用戶的加密貨幣錢包憑證。

廣告 - 內文未完請往下捲動

Lazarus 還透過 LinkedIn推特等社群大力宣傳,還試圖聯繫在加密領域有影響力的 KOL,讓他們推廣他們的惡意網站。恐怖的是,即便玩家沒有下載遊戲,但只要瀏覽網站,電腦就可能被感染。

利用 Chrome 漏洞植入惡意程式

Lazarus 透過一個名為「Manuscrypt」的惡意軟體,再利用 Chrome 瀏覽器中 JavaScript V8 engine 的「型別混淆漏洞」(Type Confusion) 來攻擊用戶,這是 Chrome 在 2024 年 5 月之前發現的第七個零日漏洞 (zero-day vulnerability)。

什麼是零日漏洞與零日攻擊?

零日漏洞 (zero-day vulnerability) 指的是一個還沒被軟體開發者或網路安全專家發現,而且已被攻擊者利用的安全漏洞。由於開發者還沒來得及修補這個漏洞,攻擊者可以在「零日」的情況下攻擊,可稱為零日攻擊 (zero-day attack),並對目標系統、應用程式或設備造成危害。

以下為攻擊者通常使用零日漏洞來入侵並竊取用戶個資的步驟:

  1. 誘導安裝惡意軟體
  2. 進行遠端攻擊
  3. 控制系統、設備
  4. 竊取用戶數據或個資

微軟早在今年 2 月發現異常,Google 耗費十多天修補漏洞 

早在今年 2 月,微軟 (Microsoft) 的安全團隊就注意到這款假遊戲,但當 Kaspersky 進行分析時,北韓駭客組織Lazarus 就已經移除網站中的漏洞程式碼。不過,Kaspersky 仍將此問題通報給 GoogleGoogle 也在 Lazarus 再次利用這個漏洞之前完成修補,但花了 12 天才修補好這個漏洞。

(ZachXBT揭露北韓駭客犯罪網路,佯裝開發者滲透團隊再捲款:月收50萬美元)

熱門文章
亞洲遊戲市場觀察:15大市場熱門遊戲與用戶趨勢
網路遊戲
斯里蘭卡博弈產業大轉型,官方:劍指南亞拉斯維加斯
合規與政策
越南在線博彩業政策收緊 催生市場新機遇
東南亞資訊
菲律賓博彩技術賽道迎來新變局,B2B 供應模式加速滲透
東南亞資訊
JILI 宣佈與全球板球傳奇 AB de Villiers(ABD)達成重磅戰略合作
體育遊戲
西班牙監管機構警告在線賭博平臺存在身份盜竊行為
合規與政策
超級PAC籌資4800萬美元:體育博彩勢力加碼
合規與政策
印度最高法院受理公益訴訟,要求全國禁封「偽裝」成社交遊戲的賭博平台
合規與政策
菲律賓網絡賭博和加密貨幣仍構成持續的洗錢風險
東南亞資訊
巴西擬將博弈稅率提高至24% 稅收將用於社保與醫療領域
合規與政策
新澤西州7月博彩收入創6.06億美元新高,頒布禁令
合規與政策
印第安納州在線賭場法案在眾議院委員會停滯不前
合規與政策
越南博彩管控逐步放寬,惟本土需求仍顯乏力
東南亞資訊
英國確認各垂直行業的賭博稅稅率
合規與政策
哈薩克計劃對線上賭場促銷活動進行處罰
合規與政策
首頁
遊戲
合作
發現
我的