TIM Riset dan Analisis Global Kaspersky (GReAT) mengungkap kampanye berbahaya canggih oleh kelompok Advanced Persistent Threat (APT) Lazarus, yang menargetkan investor kripto di seluruh dunia.
Para penyerang menggunakan situs web permainan kripto palsu yang mengeksploitasi kerentanan zero-day di Google Chrome untuk memasang spyware dan mencuri kredensial dompet kripto. Temuan ini dipresentasikan di Security Analyst Summit 2024 di Bali.
Pada Mei 2024, para ahli Kaspersky, saat menganalisis insiden dalam telemetri Kaspersky Security Network, mengidentifikasi serangan menggunakan malware Manuscrypt, yang telah digunakan kelompok Lazarus sejak 2013 dan didokumentasikan oleh Kaspersky GReAT di lebih dari 50 kampanye unik yang menargetkan berbagai industri.
Analisis lebih lanjut mengungkapkan kampanye berbahaya canggih sangat bergantung pada teknik rekayasa sosial dan AI generatif untuk menargetkan investor kripto.
Kelompok Lazarus dikenal karena serangan mereka yang sangat canggih pada platform kripto dan memiliki riwayat menggunakan eksploitasi zero-day. Kampanye yang baru terungkap ini mengikuti pola yang sama.
Peneliti Kaspersky menemukan bahwa pelaku ancaman mengeksploitasi dua kerentanan, termasuk bug kebingungan tipe yang sebelumnya tidak diketahui di V8, mesin JavaScript, dan WebAssembly sumber terbuka Google.
Kerentanan zero-day ini diperbaiki sebagai CVE-2024-4947 setelah Kaspersky melaporkannya ke Google. Kerentanan ini memungkinkan penyerang untuk mengeksekusi kode arbitrer, melewati fitur keamanan, dan melakukan berbagai aktivitas jahat. Kerentanan lain digunakan untuk melewati perlindungan sandbox V8 Google Chrome.
Para penyerang mengeksploitasi kerentanan ini melalui situs web gim palsu yang dirancang secara menyeluruh dan mengundang pengguna untuk bersaing secara global dengan tank NFT.
Mereka berfokus pada membangun rasa percaya untuk memaksimalkan efektivitas kampanye, merancang detail untuk membuat aktivitas promosi yang tampak senyata mungkin. Ini termasuk pembuatan akun media sosial di X (sebelumnya dikenal sebagai Twitter) dan LinkedIn untuk mempromosikan gim selama beberapa bulan, menggunakan gambar yang dihasilkan AI untuk meningkatkan kredibilitas.
Lazarus telah berhasil mengintegrasikan AI generatif ke dalam operasi mereka, dan para ahli Kaspersky mengantisipasi bahwa para penyerang akan merancang serangan yang lebih canggih menggunakan teknologi ini.
Para penyerang juga berupaya melibatkan influencer kripto untuk promosi lebih lanjut, memanfaatkan kehadiran media sosial mereka tidak hanya untuk mendistribusikan ancaman tetapi juga untuk menargetkan akun kripto mereka secara langsung.
"Meskipun sebelumnya kita pernah melihat pelaku APT mengejar keuntungan finansial, kampanye ini unik. Para penyerang melampaui taktik yang biasa dengan menggunakan game yang berfungsi penuh sebagai kedok untuk mengeksploitasi zero-day Google Chrome dan menginfeksi sistem yang menjadi target. Dengan pelaku terkenal seperti Lazarus, bahkan tindakan yang tampaknya tidak berbahaya—seperti mengeklik tautan di jejaring sosial atau dalam email—dapat mengakibatkan peretasan total pada komputer pribadi atau seluruh jaringan perusahaan. Upaya signifikan yang diinvestasikan dalam kampanye ini menunjukkan bahwa mereka memiliki rencana yang ambisius, dan dampak sebenarnya bisa jauh lebih luas, berpotensi memengaruhi pengguna dan bisnis di seluruh dunia," papar Pakar Keamanan Utama di GReAT Kaspersky Boris Larin.
Pakar Kaspersky menemukan permainan sah yang tampaknya merupakan prototipe untuk versi penyerang. Tidak lama setelah penyerang meluncurkan kampanye untuk mempromosikan permainan mereka, pengembang permainan asli mengklaim kripto senilai US$20.000 telah ditransfer dari dompet mereka.
Logo dan desain permainan palsu tersebut sangat mirip dengan yang asli, hanya berbeda dalam penempatan logo dan kualitas visual.
Mengingat adanya kesamaan dan tumpang tindih dalam kode tersebut, para ahli Kaspersky menekankan anggota Lazarus berusaha keras untuk memberikan kredibilitas pada serangan mereka.
Mereka membuat permainan palsu menggunakan kode sumber yang dicuri, mengganti logo dan semua referensi ke permainan yang sah untuk meningkatkan ilusi keaslian dalam versi mereka yang hampir identik. (Z-1)