Zero-Day in Chrome: Lazarus stiehlt Krypto-Währungen mittels Spyware

Mit einer aufwändigen Fälschung eines Games konnte der Bedrohungsakteur Lazarus Krypto-Währungen stehlen [1]. Das gefälschte Spiel wurde von der cyberkriminellen Gruppe über Soziale Medien stark beworben und nutzte eine Zero-Day-Schwachstelle in Google Chrome aus, um entsprechende Spyware zu installieren und an die Wallet-Anmeldedaten zu gelangen. Das Global Research and Analysis Team von Kaspersky (GReAT) hat seine Erkenntnisse hierzu auf dem Kaspersky Security Analysis Summit (SAS) 2024 [2] vorgestellt.

Die Kaspersky-Experten identifizierten im Mai 2024 bei der Analyse der Telemetriedaten des Kaspersky Security Network (KSN) [3] einen Angriff mit der Malware Manuscript, die seit dem Jahr 2013 vom Bedrohungsakteur Lazarus verwendet wird. GReAT konnte seitdem mehr als 50 einzelne solcher Kampagnen in verschiedenen Branchen dokumentieren. Die nun aufgedeckte Kampagne verwendet Social-Engineering-Techniken und generative KI, um Besitzer von Krypto-Währungen anzugreifen.

Lazarus ist für die Ausnutzung von Zero-Day-Exploits bekannt. In der aktuellen Kampagne nutzte der Bedrohungsakteur zwei Schwachstellen aus, darunter auch die bislang unbekannte Schwachstelle Type-Confusion (CVE-2024-4947) in V8, also der mit Open-Source-Technologie programmierten JavaScript- und WebAssembly-Engine von Google Chrome. Dadurch konnten die Angreifer einen beliebigen Code ausführen, Sicherheitsfunktionen umgehen und verschiedene schädliche Aktivitäten durchführen. Mittels der zweiten Schwachstelle umging Lazarus den schützenden Sandbox-Mechanismus von V8.

Für ihre Kampagne erstellten die Angreifer eine sorgfältig gestaltete, aber gefälschte Website eines auf Non-Fungible Tokens (NFT) basierenden Spiels, bei dem Gamer in einen weltweiten Wettbewerb mit ihren Panzern antreten und Geld verdienen können (Play to Earn). Um dem Spiel eine möglichst hohe Glaubwürdigkeit und der Kampagne Effizienz zu verleihen, hatte es Lazarus über Social-Media-Accounts auf X (ehemals Twitter) und LinkedIn monatelang beworben, auch mit Hilfe KI-generierter Bilder. Da die Gruppe bereits in der Vergangenheit ihre Operationen mit generativer KI anreicherte, gehen die Kaspersky-Experten davon aus, dass noch weitere raffiniertere KI-gestützte Angriffe bevorstehen.

Selbst Entwickler des Original-Spiels verloren Geld

Als Prototyp für das gefälschte Spiel diente den Angreifern ein legitimes NFT-Game. Das gefälschte Spiel unterschied sich vom legitimen nur in der Platzierung des Logos und der visuellen Qualität. Das Design des Fake-Spiels war dem Original daher sehr ähnlich. Um die Illusion möglichst perfekt zu halten, wurde das gefälschte Game mit dem gestohlenen Original-Quellcode entwickelt, Logos sowie Referenzen gegenüber dem Original jedoch abgeändert. Aus den Wallets der Spiele-Entwickler verschwand nach Beginn der Lazarus-Kampagne Kryptowährung im Wert von 20.000 US-Dollar [4]. Zudem wurden Krypto-Influencer für die Kampagne instrumentalisiert. Die Lazarus-Gruppe nutzte deren Präsenz in den Sozialen Medien zur Verbreitung ihres gefälschten Spiels; auch deren Krypto-Wallets wurden attackiert.

„Es ist nicht neu, dass Bedrohungsakteure nach finanziellen Gewinnen streben, doch diese Kampagne war einzigartig“, sagt Boris Larin, Principal Security Expert Global Research and Analysis Team bei Kaspersky. „Dass die Angreifer ein voll funktionsfähiges Spiel erstellen, um ein Zero-Day in Google Chrome auszunutzen und Zielsysteme zu infizieren, übersteigt die bislang bekannte Taktik. Akteure wie Lazarus machen so selbst scheinbar harmlose Aktionen – wie den Klick auf einen Link in Sozialen Netzwerken oder einer E-Mail – zu einem Risiko, das bis zur vollständigen Kompromittierung des PCs oder eines ganzen Unternehmensnetzwerks reichen kann. Dass die Kampagne mit beträchtlichem Aufwand betrieben wurde, deutet auf ehrgeizige Pläne der Angreifer hin. Die tatsächlichen Folgen hätten noch viel weitreichender ausfallen können und Nutzer sowie Unternehmen weltweit betreffen können.“

Kaspersky hat die Schwachstelle an Google gemeldet, woraufhin diese geschlossen wurde.

[1] https://securelist.com/lazarus-apt-steals-crypto-with-a-tank-game/114282/

[2] https://thesascon.com/

[3] https://www.kaspersky.de/ksn

[4] https://t.me/DFTLofficial/8935

Nützliche Links:

• Kaspersky-Analyse zu Lazarus: https://securelist.com/lazarus-apt-steals-crypto-with-a-tank-game/114282/
• Kaspersky Security Analyst Summit 2024: https://thesascon.com/