Hackergruppe Lazarus nutzt Zero-Day-Lücke in Chrome

Kaspersky hat Details zu einer Zero-Day-Lücke in Google Chrome veröffentlicht, die die Hackergruppe Lazarus ausgenutzt hat, um Spyware zu installieren. Die Spyware wiederum half den Cyberkriminellen, an die Anmeldedaten für Krypto-Wallets ihrer Opfer zu gelangen.

Im Mai 2024 identifizierten Kaspersky-Experten bei der Analyse von Telemetriedaten einen Angriff mit der Malware Manuscript. Sie wird seit 2013 von der Lazarus-Gruppe eingesetzt. Seitdem wurden mehr als 50 solcher Kampagnen in verschiedenen Branchen dokumentiert. Bei der von Kaspersky aufgedeckten Kampagne kamen Social-Engineering-Techniken und generative KI zum Einsatz, um Besitzer von Krypto-Währungen anzugreifen.

Die zuvor unbekannte Schwachstelle in Chrome mit der Kennung CVE-2024-4947 kombinierten die Bedrohungsakteure mit einer weiteren Anfälligkeit. Dadurch konnten die Angreifer einen beliebigen Code ausführen, Sicherheitsfunktionen umgehen und verschiedene schädliche Aktivitäten durchführen. Mittels der zweiten Schwachstelle umging Lazarus den schützenden Sandbox-Mechanismus von V8.

Für ihre Kampagne erstellten die Angreifer zudem eine sorgfältig gestaltete, aber gefälschte Website eines auf Non-Fungible Tokens (NFT) basierenden Spiels, bei dem Gamer in einen weltweiten Wettbewerb mit ihren Panzern antreten und Geld verdienen können (Play to Earn). Um dem Spiel eine möglichst hohe Glaubwürdigkeit und der Kampagne Effizienz zu verleihen, hatte es Lazarus über Social-Media-Accounts auf X (ehemals Twitter) und LinkedIn monatelang beworben, auch mit Hilfe KI-generierter Bilder. Da die Gruppe bereits in der Vergangenheit ihre Operationen mit generativer KI anreicherte, gehen die Kaspersky-Experten davon aus, dass noch weitere raffiniertere KI-gestützte Angriffe bevorstehen.

Als Prototyp für das gefälschte Spiel diente den Angreifern ein legitimes NFT-Game. Das gefälschte Spiel unterschied sich vom legitimen nur in der Platzierung des Logos und der visuellen Qualität. Das Design des Fake-Spiels war dem Original daher sehr ähnlich. Um die Illusion möglichst perfekt zu halten, wurde das gefälschte Game mit dem gestohlenen Original-Quellcode entwickelt, Logos sowie Referenzen gegenüber dem Original jedoch abgeändert. Aus den Wallets der Spiele-Entwickler verschwand nach Beginn der Lazarus-Kampagne Kryptowährung im Wert von 20.000 US-Dollar. Zudem wurden Krypto-Influencer für die Kampagne instrumentalisiert. Die Lazarus-Gruppe nutzte deren Präsenz in den Sozialen Medien zur Verbreitung ihres gefälschten Spiels; auch deren Krypto-Wallets wurden attackiert.

Die Zero-Day-Lücke wurde von Kaspersky an Google gemeldet. Das Mitte Mai veröffentlichte Update auf Chrome 125 behebt die Anfälligkeit.