악명 높은 라자루스 사이버 범죄 집단이 암호화폐 사용자들을 유인하기 위해 "도난당한" 컴퓨터 게임을 사용하고 있음.
라자루스는 북한 정부가 지원하는 해킹 집단으로, 암호화폐 회사와 사용자들을 대상으로 공격을 해왔으며, 역사상 가장 큰 암호화폐 해킹 사건의 배후로 알려져 있음. 이들 해킹으로 얻은 자금은 북한 정부와 무기 프로그램에 사용된다고 전해짐.
카스퍼스키의 사이버 보안 연구자들은 최근 가짜 게임을 이용해 사람들을 웹사이트로 유인하는 새로운 캠페인을 발견함. 라자루스는 이 웹사이트를 통해 크롬 브라우저의 두 가지 취약점을 악용하고, 궁극적으로 기기에서 민감한 데이터를 훔침.
카스퍼스키는 범죄자들이 DeFi(탈중앙화 금융) 게임인 DeFiTankLand를 사용하고, 이를 DeTankZone으로 단순히 리브랜딩했다고 설명함. 사용자가 이 가짜 사이트를 방문해 게임을 다운로드하려고 하면, 로그인/등록 화면을 넘기지 못하는 고장난 제품을 받게 됨. 그러나 웹사이트를 방문하는 동안 숨겨진 스크립트(index.tsx)가 CVE-2024-4947로 추적되는 유형 혼동 취약점을 악용함.
이 취약점은 크롬의 자바스크립트 엔진인 V8에서 발견됨. 악용되면 브라우저의 메모리를 손상시키고 덮어쓰게 되어 범죄자들이 크롬 프로세스의 주소 공간에 접근할 수 있게 됨. 그 결과 쿠키, 인증 토큰, 브라우징 기록, 저장된 비밀번호 등을 탈취할 수 있음.
크롬의 V8은 샌드박스에 있으며, 자바스크립트 실행이 시스템의 나머지 부분과 격리되어 있기 때문에, 라자루스는 원격 코드 실행을 위해 다른 취약점을 사용했다고 카스퍼스키가 전함.
연구자들은 이 결함을 2024년 5월 중순에 발견했고, 구글은 2주 후인 5월 25일에 수정 패치를 배포함. 라자루스의 공격으로부터 안전하고 싶은 암호화폐 애호가들은 크롬 브라우저를 최소한 125.0.6422.60/.61 버전으로 업데이트해야 함. 라자루스는 2월부터 이 캠페인을 운영해온 것으로 결론지어짐.
/cdn.vox-cdn.com/uploads/chorus_asset/file/25696426/google_calendar1.jpg)
