Киберпреступность в криптовалютной сфере продолжает набирать обороты, и группировка Lazarus Group, связанная с Северной Кореей, на этот раз нашла способ атаковать криптосообщество через фейковую DeFi-игру. Исследователи «Лаборатории Касперского» выявили, что Lazarus использует поддельную многопользовательскую онлайн-игру (MOBA) под названием DeFiTankLand для кражи криптоактивов.
Lazarus и поддельный сайт DeFi-игры
Что такое фейковая DeFi-игра Lazarus
Lazarus разработала сайт detankzone[.]com, представляя его как платформу для игры в DeFiTankLand — игру с танковым сюжетом и встроенными NFT. В реальности сайт является фишинговым, а игра, скачанная с него, никогда не предназначалась для реальной работы. После регистрации игроки фактически предоставляли хакерам доступ к своим данным.
Использование украденного кода
Фальшивая игра Lazarus базируется на украденном исходном коде реальной MOBA DeFiTankLand. Есть предположение, что Lazarus также могла быть связана с хищением криптовалюты DFTL2 на сумму $20 000 у оригинального проекта в марте 2024 года.
Как происходит атака: механизм взлома и кражи данных
Распространение фальшивой игры
С мая 2024 года игра DeFiTankLand активно продвигалась через социальные сети, фишинговые рассылки и даже с выходом на владельцев премиум-аккаунтов LinkedIn. Lazarus старалась взаимодействовать с известными представителями криптосообщества, чтобы завоевать доверие пользователей.
Как заражается устройство
После установки приложение не работало дальше экрана регистрации, но даже его посещение открывало браузер Google Chrome для выполнения вредоносного скрипта Manuscrypt. Этот бэкдор позволял хакерам получать доступ к файлам cookie, токенам аутентификации, паролям и истории браузера пользователя. Всё это могло использоваться для дальнейшего доступа к криптокошелькам и аккаунтам в DeFi.
Почему Lazarus выбирает криптоиндустрию?
Lazarus уже давно известна своими атаками на финансовые системы, а криптовалютный рынок, с его высоким потенциалом для быстрого получения прибыли, стал особенно привлекательным. Lazarus и ранее была замечена за взломами криптовалютных платформ, и фейковая DeFi-игра стала одним из наиболее сложных и изощренных инструментов группировки.
Как защититься от подобных атак
Не скачивайте игры и приложения с подозрительных сайтов. Убедитесь, что используете официальные источники.
Избегайте перехода по фишинговым ссылкам в письмах или социальных сетях.
Регулярно обновляйте пароли и используйте двухфакторную аутентификацию для защиты аккаунтов.
Используйте антивирусное ПО и держите его в актуальном состоянии.
Роль «Лаборатории Касперского» и меры безопасности
«Лаборатория Касперского» не только обнаружила и задокументировала действия Lazarus, но и сообщила о существующих уязвимостях Google, который оперативно внёс необходимые изменения. Пример показывает важность сотрудничества между компаниями по кибербезопасности и крупными корпорациями для защиты пользователей от мошенничества и кибератак.
Кибератака через фейковую игру от Lazarus Group — лишь один из множества случаев, подтверждающих важность кибербезопасности для криптосообщества. Подобные инциденты напоминают о том, что всегда стоит быть начеку и доверять только проверенным источникам информации и программного обеспечения.
|