Tại Hội nghị Chuyên gia Phân tích An ninh mạng (SAS) 2024 diễn ra ở Bali (Indonesia), nhóm Phân tích và Nghiên cứu Toàn cầu (GReAT) của Kaspersky đã công bố phát hiện mới về chiến dịch tấn công APT (Advanced Persistent Threat) nhắm vào những nhà đầu tư tiền điện tử trên toàn cầu.
Theo Kaspersky, nhóm tin tặc APT Lazarus Group đứng sau vụ việc này đã tạo một trang web giả mạo trò chơi điện tử (crypto game) để dẫn dụ nạn nhân vào các bẫy tài chính. Trang web này lợi dụng lỗ hổng CVE-2024-4947 trong Google Chrome để tấn công cài đặt phần mềm gián điệp lên các thiết bị mục tiêu, từ đó đánh cắp thông tin tài chính của nạn nhân.
Nhóm tin tặc Lazarus nổi tiếng với các chiến dịch tấn công mạng tinh vi, thường xuyên khai thác các lỗ hổng zero-day để tấn công vào nền tảng giao dịch tiền điện tử. CVE-2024-4947 là một lỗ hổng nghiêm trọng đã được phát hiện trong JavaScript và WebAssembly V8 trên trình duyệt Google Chrome, cho phép kẻ tấn công phát tán mã độc tùy ý, vượt qua hàng rào bảo mật nghiêm ngặt và triển khai các hoạt động độc hại trên thiết bị lây nhiễm.
Ngay sau khi nhận được báo cáo từ Kaspersky, Google đã nhanh chóng phát hành bản vá để khắc phục lỗ hổng này. Tuy nhiên, ngoài lỗ hổng CVE-2024-4947, các tin tặc còn khai thác một lỗ hổng khác để vô hiệu hóa tính năng bảo vệ của V8 Sandbox trong Google Chrome, mở đường cho các cuộc tấn công tinh vi hơn.
Thông qua các lỗ hổng bảo mật nói trên, những kẻ tấn công đã tạo ra một trang web giả mạo trò chơi điện tử NFT Tanks, dẫn dụ người chơi tham gia vào các trận đấu toàn cầu. Để nâng cao tính thuyết phục và hiệu quả của chiến dịch lừa đảo, nhóm tin tặc không chỉ chú trọng vào việc tạo ra một giao diện trò chơi chân thực mà còn lên kế hoạch kỹ lưỡng cho chiến lược quảng bá.
Cụ thể, chúng tạo ra các tài khoản trên mạng xã hội như X (tiền thân là Twitter) và LinkedIn để tuyên truyền trò chơi trong suốt nhiều tháng. Bên cạnh đó, chúng còn sử dụng hình ảnh được tạo ra bởi AI để thêm sống động và nâng cao sự uy tín, khiến người chơi tin tưởng vào tính hợp pháp của trò chơi.
Thậm chí, nhóm tin tặc này còn tiếp cận với những người có tầm ảnh hưởng trong lĩnh vực tiền điện tử, tận dụng sự nổi tiếng của họ trên mạng xã hội để mở rộng phạm vi quảng bá của chiến dịch tấn công. Không chỉ dừng lại ở việc lợi dụng hình ảnh của những người này để phát tán mối đe dọa, chúng còn tìm cách tấn công trực tiếp vào các tài khoản tiền điện tử của chính các cá nhân có ảnh hưởng đó.
Ông Boris Larin - Trưởng nhóm GReAT của Kaspersky nhận định: Các nhóm tấn công mạng APT thường nhắm vào lợi ích tài chính, nhưng chiến dịch lần này thật sự có khác biệt. Kẻ tấn công đã vượt qua các phương thức tấn công truyền thống, sử dụng một trò chơi hoàn chỉnh làm vỏ bọc để khai thác lỗ hổng zero-day của Google Chrome và xâm nhập vào các hệ thống mục tiêu.
"Với những nhóm tội phạm mạng khét tiếng như Lazarus, ngay cả những hành động tưởng chừng vô hại như nhấp vào một liên kết trên mạng xã hội hoặc trong email cũng có thể dẫn đến việc toàn bộ máy tính cá nhân hoặc mạng lưới doanh nghiệp bị xâm nhập", ông Boris Larin cảnh báo.
Ông Boris Larin dẫn một trường hợp cụ thể, ngay sau khi nhóm tấn công tung ra phiên bản giả mạo, nhà phát triển trò chơi gốc đã báo cáo việc mất 20.000 USD tiền điện tử. Điều đáng chú ý là trò chơi giả mạo này gần như giống hệt bản gốc, với chỉ một số thay đổi nhỏ về vị trí logo và chất lượng hình ảnh.