假鏈遊真盜幣!北韓駭客 Lazarus 利用 Chrome「零日漏洞」誘騙加密資產
頻頻搞事的北韓駭客組織 Lazarus Group 先前就已竊取印度交易所 WazirX 近 2.3 億美元,接連又有幾樁竊取加密資產等相關案件,而這次 Lazarus 將魔手伸向區塊鏈遊戲。Lazarus 先創建一款假的鏈上遊戲,再利用 Google Chrome 的漏洞植入間諜軟體,成功竊取用戶的加密錢包憑證。電腦安全公司 Kaspersky 在今年 5 月發現此問題後已向 Google 報告,目前已修補漏洞。
假鏈上遊戲暗藏風險
Lazarus 推出了一款名為「DeTankZone」或「DeTankWar」的假鏈上遊戲,玩家可以使用 NFT 作為戰車與全球玩家比賽。
Source : 網路安全公司卡巴斯基 (Kaspersky)Lazarus 模仿現有的鏈上遊戲「DeFiTankLand」,成功誘騙眾多用戶來下載,進而利用 Google Chrome 的漏洞來植入惡意軟體,竊取用戶的加密貨幣錢包憑證。
真鏈上遊戲:DeFiTankLandLazarus 還透過 LinkedIn 和推特等社群大力宣傳,還試圖聯繫在加密領域有影響力的 KOL,讓他們推廣他們的惡意網站。恐怖的是,即便玩家沒有下載遊戲,但只要瀏覽網站,電腦就可能被感染。
Source : 網路安全公司卡巴斯基 (Kaspersky)利用 Chrome 漏洞植入惡意程式
Lazarus 透過一個名為「Manuscrypt」的惡意軟體,再利用 Chrome 瀏覽器中 JavaScript V8 engine 的「型別混淆漏洞」(Type Confusion) 來攻擊用戶,這是 Chrome 在 2024 年 5 月之前發現的第七個零日漏洞 (zero-day vulnerability)。
卡巴斯基於 Javascript 中找到的漏洞什麼是零日漏洞與零日攻擊?
零日漏洞 (zero-day vulnerability) 指的是一個還沒被軟體開發者或網路安全專家發現,而且已被攻擊者利用的安全漏洞。由於開發者還沒來得及修補這個漏洞,攻擊者可以在「零日」的情況下攻擊,可稱為零日攻擊 (zero-day attack),並對目標系統、應用程式或設備造成危害。
以下為攻擊者通常使用零日漏洞來入侵並竊取用戶個資的步驟:
- 誘導安裝惡意軟體
- 進行遠端攻擊
- 控制系統、設備
- 竊取用戶數據或個資
微軟早在今年 2 月發現異常,Google 耗費十多天修補漏洞
早在今年 2 月,微軟 (Microsoft) 的安全團隊就注意到這款假遊戲,但當 Kaspersky 進行分析時,北韓駭客組織Lazarus 就已經移除網站中的漏洞程式碼。不過,Kaspersky 仍將此問題通報給 Google,Google 也在 Lazarus 再次利用這個漏洞之前完成修補,但花了 12 天才修補好這個漏洞。
Source: Microsoft ‘X(ZachXBT揭露北韓駭客犯罪網路,佯裝開發者滲透團隊再捲款:月收50萬美元)
這篇文章 假鏈遊真盜幣!北韓駭客 Lazarus 利用 Chrome「零日漏洞」誘騙加密資產 最早出現於 鏈新聞 ABMedia。
免責聲明:文章中的所有內容僅代表作者的觀點,與本平台無關。用戶不應以本文作為投資決策的參考。
您也可能喜歡
比特幣公鏈 Side 創世空投正式啟動,覆蓋比特幣、Cosmos、NFT 等多個生態
此次空投將共計分發 1 億枚 $SIDE 代幣,空投將在主網上線後,按照 3 個月線性釋放計劃分批進行。
川普提名貝森特出任美國財政部長,他對加密貨幣的立場、支持比特幣儲備?
IKEA:當前消費環境更像2008金融危機後,客戶錢包大幅縮水
中國法官裁定:個人持有「虛擬貨幣不違法」但禁止一行為,限制令能解嗎?