Una versión falsa de DeTankZone, que se difunde por redes sociales y primete ganancias en criptomonedas, trae un peligroso virus.
Investigadores de ciberseguridad descubrieron esta semana una sofisticada campaña de hackers norcoreanos dirigida a gamers e inversores de criptomonedas de todo el mundo.
Los atacantes, que pertenecen al peligroso grupo de ciberdelincuentes Lazarus, utilizaron un sitio web de un falso videojuego play-to-earn llamado DeTankZone para explotar una vulnerabilidad de Chrome, instalar spyware y robar contraseñas y credenciales de billeteras virtuales.
A primera vista, la página falsa parecía el sitio oficial y legal de un videojuego web de tanques multijugador que invitaba a los usuarios a descargar una versión de prueba. Pero por detrás tenía un script oculto que se ejecutaba en el navegador de Google que lanzaba un ataque de día cero que, entre otras cosas, daba a los atacantes el control total sobre el PC de la víctima.
Para lograr su cometido y que los usuarios descarguen la demo del juego, los ciberdelincuentes se enfocaron en generar confianza. No solo el sitio falso estaba muy bien diseñado y parecía una web genuina, sino que también programaron campañas de promoción en redes sociales. Incluso crearon perfiles ad hoc en X y LinkedIn para difundir el juego durante varias semanas, con atractivos anuncios generados con inteligencia artificial.
Estas promociones también llegaban a través de correo electrónico o plataformas de mensajería, en los cuales incitaban a las posibles víctimas a que instalen el juego y hasta prometían ganancias cripto.
Los ciberdelincuentes, además, intentaron involucrar a influencers internacionales de criptomonedas para una promoción adicional, y así aprovechar su llegada no solo para distribuir la amenaza, sino también para apuntar directamente a sus cuentas de criptomonedas.
Los expertos de la firma de ciberseguridad Kaspersky identificaron que el ataque utilizaba el malware Manuscrypt, el cual es usado por el grupo Lazarus desde 2013. Un análisis más detallado reveló esta compleja campaña maliciosa que dependía en gran medida de técnicas de ingeniería social y de inteligencia artificial generativa para atacar a gamers e inversores de criptomonedas.
Los especialistas explicaron: “El exploit contenía código para dos vulnerabilidades. La primera se utiliza para dar a los atacantes acceso de lectura y escritura a todo el espacio de direcciones del proceso de Chrome desde JavaScript, y la segunda se utiliza para eludir las protecciones del navegador y sus funciones de seguridad, y así acceder a la memoria y llevar a cabo diversas actividades maliciosas”.
Finalmente, la vulnerabilidad de día cero, catalogada como CVE-2024-4947, fue solucionada por Google después de que los especialistas de Kaspersky la reportaran.
