Kuzey Koreli Ünlü Lazarus Çetesi Yeni Bir Siber Saldırı Yöntemiyle Kripto Para Kullanıcılarını Hedef Alıyor
Kuzey Kore’nin kötü şöhretli Lazarus siber suç çetesinin, “çalıntı” bir bilgisayar oyunu aracılığıyla kripto para birimi kullanıcılarına saldırdığı gün yüzüne çıktı. Bu çetenin, tarih boyunca gerçekleştirilen en büyük kripto soygunlarından bazılarının arkasında olduğu biliniyor. Üstelik, grubun faaliyetlerinin Kuzey Kore devleti tarafından desteklendiği ve elde ettikleri “ganimetlerin” ülkenin hükümetine ve silah programına finansal destek sağlamak için kullanıldığı iddiaları bulunuyor.
Kaspersky’nin siber güvenlik araştırmacıları, kısa süre önce kullanıcıları tuzağa düşürmek amacıyla sahte bir oyun kullanan yeni bir kampanya tespit etti. Lazarus, oluşturduğu web sitesini Chrome tarayıcısındaki iki güvenlik açığından yararlanarak ve cihazlardan hassas verileri çalarak istismar ediyor. Araştırmacılar, dolandırıcıların DeFiTankLand adıyla bilinen bir merkezi olmayan finans (DeFi) oyununu kullandığını ve bu oyunu basit bir şekilde DeTankZone olarak yeniden adlandırdığını ortaya koydu.
Bu sahte web sitesini ziyaret eden ve oyunu indirmeye çalışan kullanıcılar, oturum açma veya kayıt ekranıyla karşılaşıyor; ancak burada çalışmayan bir ürünle face-to-face (yüz yüze) karşılaşıyorlar. Üstelik, siteyi ziyaret esnasında gizli bir kod satırı, güvenlik açığı için bir istismarı tetiklemekte. Chrome’un JavaScript motoru olan V8’de keşfedilen bu güvenlik açığı, dolandırıcıların bir dizi hassas veriye erişmesini sağlıyor. İstismar edildiği takdirde, tarayıcının belleğini bozarak ve üzerine yazarak, dolandırıcılara Chrome işleminin adres alanına erişim izni veriyor. Bu durum, çerezlerin, kimlik doğrulama belirteçlerinin, tarama geçmişinin ve kaydedilmiş parolaların ele geçirilmesine yol açıyor.
Kaspersky, Chrome’un V8 motorunun sanal bir alanda çalıştığını ve JavaScript yürütmesinin sistemin geri kalanından izole olduğunu belirtiyor. Dolayısıyla, Lazarus’un uzaktan kod yürütme için farklı bir güvenlik açığı kullanmış olabileceği ihtimali de gündeme geliyor. Araştırmacılar, bu açığı Mayıs 2024 ortasında tespit etti ve Google, iki hafta sonra, 25 Mayıs’ta bir düzeltme yayınladı. Ancak, bu saldırıdan kaç kişinin etkilendiği ise henüz netlik kazanmış değil.
