Kuzey Koreli Lazarus Çetesi ve Kripto Dolandırıcılığı
Kuzey Kore’nin ünlü siber suç grubu olan Lazarus, son zamanlarda bir bilgisayar oyununu kullanarak kripto para kullanıcılarını hedef aldığı tespit edildi. Tarihin en büyük kripto para soygunlarından bazılarını gerçekleştiren bu grubun, Kuzey Kore devleti tarafından desteklendiği ve elde ettikleri “ganimetlerin” ülkenin hükümetine ve silah programına kaynak sağlamak amacıyla kullanıldığı iddia ediliyor.
Güvenlik alanındaki önde gelen araştırma şirketlerinden Kaspersky, kısa bir süre önce dolandırıcıların insanları bir web sitesine çekmek için sahte bir oyun kullandığına dair yeni bir kampanya keşfetti. Lazarus, bu sahte web sitesini, Chrome tarayıcısındaki iki güvenlik açığından faydalanmak ve kullanıcıların cihazlarından hassas bilgileri çalmak için kullanıyor.
Kaspersky, dolandırıcıların DeFiTankLand adı verilen merkezi olmayan finans (DeFi) oyununu kullandığını ve bunu basit bir şekilde DeTankZone olarak yeniden adlandırdığını belirtiyor. Kullanıcılar, sahte siteyi ziyaret ettiğinde ve oyunu indirmeye çalıştıklarında, oturum açma veya kayıt ekranıyla karşılaşıyorlar; ancak oyunun kendisi çalışmıyor. Bu sürecin yanı sıra, web sitesini ziyaret edenlerin cihazlarında gizli bir kod satırı, belirli bir güvenlik açığını tetikliyor.
Bu güvenlik açığı, Chrome’un JavaScript motoru olan V8 üzerinde keşfedildi. İstismar edildiğinde, tarayıcının belleğini bozan ve üzerine yazan bir mekanizma ile dolandırıcılara Chrome işleminin adres alanına erişim izni tanıyor. Bu, dolandırıcıların çerezleri, kimlik doğrulama belirteçlerini, tarayıcı geçmişini ve kaydedilmiş parolaları ele geçirmelerine olanak sağlıyor.
Kaspersky ayrıca, Chrome’un V8’inin sanal bir alanda çalıştığını ve JavaScript yürütmesinin sistemin geri kalanından izole olduğunu belirtiyor. Bu nedenle, Lazarus’un uzaktan kod yürütme için farklı bir güvenlik açığı kullanmış olabileceği ihtimali göz önünde bulunduruluyor. Araştırmacılar, bu güvenlik açığını 2024 yılının Mayıs ayı ortasında tespit etti ve Google, iki hafta sonra, yani 25 Mayıs’ta bir düzeltme yayımladı. Ancak bu dolandırıcılık saldırısından kaç kişinin etkilendiği henüz bilinmiyor.
