'Spionagegroep gebruikte tankspelletje om Chrome-gebruikers te infecteren'
Een vanuit Noord-Korea opererende spionagegroep gebruikte een tankspelletje om gebruikers van Google Chrome via een kwetsbaarheid met malware te infecteren, zo meldt antivirusbedrijf Kaspersky. Op het moment van de aanvallen was er geen update voor het beveiligingslek beschikbaar. Kaspersky rapporteerde op 13 mei van dit jaar het beveiligingslek (CVE-2024-4947) aan Google, dat twee dagen later met een patch kwam.
De Lazarus Group wordt onder andere verantwoordelijk gehouden voor de verspreiding van de WannaCry-ransomware, de hack van Sony Pictures Entertainment in 2014 en de diefstal van 81 miljoen dollar van een bank in Bangladesh in 2016. De groep richt zich ook vaak op cryptobedrijven. Individuen zijn zelden het doelwit, zo stelt Kaspersky. Op 13 mei ontdekte het antivirusbedrijf dat een gebruiker met een backdoor besmet was geraakt die Lazarus vaak inzet.
Verder onderzoek wees uit dat de infectie had plaatsgevonden via Google Chrome, waarbij een website van een tankspelletje genaamd DeTankZone was bezocht. Volgens de omschrijving ging het om een decentralized finance (DeFi) NFT (non-fungible token)-gebaseerde multiplayer online battle arena (MOBA) game. Gebruikers konden op uitnodiging het spel testen. Wanneer de website met Google Chrome werd bezocht kon via verschillende kwetsbaarheden de Manuscrypt-backdoor worden geïnstalleerd.
Via de backdoor hebben de aanvallers volledige controle over de computer. Verder onderzoek wees uit dat het hier om een volledig werkende game ging. Kaspersky ontdekte dat het spel een kopie was van een andere game genaamd DeFiTankLand (DFTL). De aanvallers begonnen op 20 februari met het adverteren van hun tankgame op X. Twee weken later liet de ontwikkelaar van DeFiTankLand weten dat een cold wallet was gecompromitteerd, waarbij 20.000 dollar aan DFTL2 coins was gestolen.
Kaspersky denkt dat de aanvallers ook de broncode van DeFiTankLand hebben gestolen, om daarmee vervolgens hun eigen game DeTankZone te maken en zo de aanvalscampagne overtuigender te maken. "Wat de aanvallen van Lazarus zeer gevaarlijk maakt is het veelvuldig gebruik van zeroday-exploits. Alleen op een link klikken op een sociaal netwerk of e-mail kan al leiden tot een volledig gecompromitteerde pc of bedrijfsnetwerk", aldus het antivirusbedrijf.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Chief Information Security Officer
Utrecht heeft jou nodig! Als Chief Information Security Officer speel jij een cruciale rol in de bescherming van de digitale informatie van de gemeente Utrecht. Als geen ander weet jij welke dreigingen er zijn en kun je deze vertalen naar risico's die de gemeente en haar inwoners lopen. Solliciteer nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
