سو استفاده هکرها از اسکرین‌شات کاربران

به نقل از کریپتوپوتیتو، هکرها به کمک یک بازی جعلی مبتنی بر توکن‌های غیرمثلی (NFT) حمله سایبری پیچیده‌ای علیه گوگل‌کروم انجام داده‌اند. به نظر می‌رسد این هکرها با گروه لازاروس کره شمالی در ارتباط هستند. بر اساس گزارش‌ها، مهاجمان از آسیب‌پذیری روز صفر این نرم‌افزار سوءاستفاده کردند‌ و موفق شدند به کیف پول‌های ارز دیجیتال کاربران دسترسی پیدا کنند.

سواستفاده از آسیب‌پذیری روز صفر گوگل کروم چطور انجام شده است؟

قبل از هر چیز، باید بدانید که حمله روز صفر (Zero-Day) در واقع به نقصی در نرم‌افزار یا سخت‌افزار گفته می‌‌شود که پیش از سوءاستفاده هکرها، از دید توسعه‌دهندگان پنهان بوده است.

طبق توضیحات بوریس لارین (Boris Larin) و واسیلی بردنیکوف (Vasily Berdnikov)، تحلیل‌گرهای امنیتی شرکت کسپرسکای (Kaspersky)، عاملان این هک، یک بازی بلاک‌چینی با نام دی‌تنک‌زون (DeTankZone) را از روی نسخه اورجینال کپی و آن را به‌عنوان یک بازی آنلاین چندنفره با امکان کسب درآمد معرفی کردند.‌

آسیب‌پذیری Zero-Day

این افراد در نهایت با گنجاندن یک کد برنامه‌نویسی مخرب در سایت بازی، دستگاه قربانیان را آلوده کردند. این موضوع، شامل افرادی که حتی دانلودی از این سایت نداشته‌اند هم می‌شود. این کد مخرب از یک باگ بسیار مهم در انجین جاوا اسکریپت وی‌۸ کروم (Chrome’s V8 JavaScript engine) سوءاستفاده کرد و با دورزدن موارد ایمنی، امکان فعال‌شدن از راه دور را برای هکرها فعال کرد. این امر در نهایت به هکر‌ها اجازه داد که با نصب یک بدافزار پیشرفته با نام منیو‌اسکریپت (Manuscrypt)، کنترل سیستم قربانیان را به دست بگیرند.

این باگ امنیتی در نهایت با انتشار گزارشی از طرف شرکت کسپرسکای به گوگل برطرف شد؛ اما هکرها درهرصورت به هدف خود رسیدند. نکته قابل‌توجه در تمام این ماجرا، به‌کارگیری تاکتیک‌های مهندسی اجتماعی (Social Engineering) در تبلیغ این بازی توسط مهاجمان بود که حتی تحلیل‌گرهای کسپرسکی را هم حیرت‌زده کرده است.

مهاجمان این بازی را به‌صورت گسترده در شبکه اجتماعی ایکس و لینکدین تبلیغ کردند و حتی توانستند برخی اینفلوئنسرهای معروف حوزه ارزهای دیجیتال را هم درگیر کنند. ایجاد یک وبسایت کامل و صفحه لینکدین حرفه‌ای، از مواردی بود که به این بازی مشروعیت بخشید و کاربران را فریب داد.

گروه لازاروس و ارزهای دیجیتال

در کمال تعجب، این بازی ان‌اف‌تی صرفا یک پوسته توخالی نبود؛ بلکه یک بازی کامل بود و گیم‌پلی هم داشت. بااین‌حال، اطلاعات حساس به‌ویژه داده‌های کیف پول هر کسی که از وبسایت این بازی بازدید می‌کرد، جمع‌آوری می‌شدند. 

گروه لازاروس اولین بار نیست که از طریق ارزهای دیجیتال دست به هک و کلاهبرداری می‌زند. آن‌ها بین سال‌های ۲۰۲۰ تا ۲۰۲۳ بیش از ۲۵ هک انجام داده‌اند و ۲۰۰ میلیون دلار به سرقت برده‌اند. علاوه‌بر این، وزارت خزانه‌داری آمریکا این گروه را با هک پل رونین (Ronin Bridge) در سال ۲۰۲۲ مرتبط کرده که طبق گزارش‌ها، باعث سرقت بیش از ۶۰۰ میلیون دلار اتریوم و توکن یو‌اس‌دی‌سی شد.

همچنین داده‌های منتشرشده توسط شرکت مادرِ پلتفرم ۲۱شرز (۲۱Shares) که در سپتامبر (مهر) ۲۰۲۳ به دست آمده، نشان می‌دهد که این گروه بیش از ۴۷ میلیون دلار از ارزهای دیجیتال مختلف شامل بیت‌کوین، بایننس‌کوین، آوالانچ و پالیگان به سرقت برده است. در مجموع، می‌توان گفت که ارزش کل دارایی‌های دزدیده‌شده توسط این گروه بین سال‌های ۲۰۱۷ تا ۲۰۲۳ به بیش از ۳ میلیارد دلار می‌رسد!