Ces célèbres hackers nord-coréens exploitent une faille Chrome via un faux jeu de cryptomonnaies
Les experts en cybersécurité de Kaspersky viennent de mettre au jour une opération sophistiquée du groupe de hackers nord-coréen Lazarus. Le groupe a exploité une faille zero-day de Google Chrome (CVE-2024-4947) par le biais d'un faux jeu décentralisé ciblant la communauté crypto.
L'attaque, découverte le 13 mai 2024, reposait sur une stratégie particulièrement élaborée. Lazarus a créé un jeu baptisé “DeTankZone”, copie frauduleuse d'un jeu légitime nommé DeFiTankLand. Pour attirer leurs victimes, les pirates ont mené une campagne promotionnelle agressive sur les réseaux sociaux, notamment X et LinkedIn, et via des emails ciblés.
Le fichier du jeu, d'une taille de 400 Mo, semblait inoffensif au premier abord. Cependant, le véritable danger se cachait sur le site detankzone[.]com, où un script dissimulé exploitait une vulnérabilité de type “confusion de type” dans V8, le moteur JavaScript de Chrome.
Lazarus est de nouveau à l’origine de piratages en ligne
L'exploitation de cette faille permettait aux pirates de corrompre la mémoire du navigateur via le compilateur JIT Maglev, leur donnant accès à l'ensemble du processus Chrome. Les attaquants pouvaient ainsi récupérer cookies, jetons d'authentification, mots de passe enregistrés et historique de navigation.
Pour contourner l'isolation du moteur V8, Lazarus a utilisé une seconde vulnérabilité, permettant l'exécution de code à distance. Un shellcode de reconnaissance était alors déployé pour évaluer la valeur de la machine compromise, collectant des informations sur le processeur, le BIOS et le système d'exploitation.
Heureusement, Google a rapidement réagi en déployant un correctif le 25 mai avec la version 125.0.6422.60/.61 de Chrome. Si vous mettez régulièrement à jour votre navigateur, vous devriez donc bien avoir reçu le correctif. Sinon, on vous conseille de bien vérifier que vous utilisez la dernière mise à jour du navigateur.
Bien que Kaspersky n'ait pu observer les étapes ultérieures de l'attaque, le groupe ayant retiré leur exploit du site piégé, tout laisse à penser que l'objectif final était le vol de cryptomonnaies. Comme souvent, les attaques du groupe Lazarus combinent ingénierie sociale et exploitation de vulnérabilités techniques avancées pour atteindre leurs cibles dans le secteur des cryptomonnaies. Il vaut donc mieux rester prudents si vous faites partie de la communauté crypto.
