เว็บไซต์ bleepingcomputer รายงานเมื่อ 20 ต.ค.67 ว่า บริษัทจัดจำหน่ายซอฟต์แวร์ป้องกันไวรัส Kaspersky ได้ค้นพบพฤติกรรมของกลุ่มแฮ็กเกอร์ Lazarus ของเกาหลีเหนือ เมื่อ 13 พ.ค.67 ที่ใช้ช่องโหว่ที่ยังไม่มีการตรวจพบ (zero-day) ของเว็บเบราว์เซอร์ Google Chrome ชื่อรหัสว่า CVE-2024-4947 ผ่านเกมส์ออนไลน์ที่มีการชำระเงินแบบ (DeFi) โดยมีเป้าหมายเป็นผู้ใช้สกุลเงินดิจิทัล การโจมตีเริ่มขึ้น เมื่อ ก.พ.67 แฮ็กเกอร์ใช้มัลแวร์แบ็คดอร์ชื่อ “Manuscrypt” ซึ่งตรวจพบครั้งแรกในคอมพิวเตอร์ของลูกค้ารายหนึ่งในรัสเซีย เว็บไซต์ที่ถูกใช้ในการโจมตีคือ “detankzone[.]com” ซึ่งโปรโมตเกมส์แนว MOBA ชื่อ DeTankZone ที่ใช้การชำระเงินแบบ NFT โดยเกมดังกล่าวถูกโปรโมตอย่างหนักผ่านสื่อโซเชียลมีเดีย และอีเมลฟิชชิ่ง
Kaspersky ตรวจพบว่าเกมดังกล่าวถูกสำเนาจากเกม DeFiTankLand และเปลี่ยนชื่อเป็น DeTankZone กลุ่มแฮ็กเกอร์ Lazarus ใช้สคริปต์ที่ซ่อนอยู่ในเว็บไซต์เพื่อโจมตีช่องโหว่ CVE-2024-4947 ทำให้พวกเขาสามารถเข้าถึงคุกกี้ ข้อมูลรับรอง รหัสผ่านที่บันทึกไว้ และประวัติการท่องเว็บของผู้ใช้ Google Crome จากนั้น Lazarus ใช้ช่องโหว่อีกตัวใน V8 เพื่อหลบเลี่ยงการป้องกันของ Chrome และรันโค้ดจากระยะไกลโดยใช้ เพื่อเก็บข้อมูลเกี่ยวกับเครื่องของเหยื่อ เช่น CPU, BIOS, OS รวมถึงตรวจสอบระบบป้องกันไวรัส ในขณะที่ทำการวิเคราะห์ Kaspersky พบว่า Lazarus ได้ลบช่องโหว่ และเนื้อหาที่เกี่ยวข้องออกจากเว็บไซต์ detankzone[.]com แล้ว อย่างไรก็ตาม จากข้อมูลที่พบ แคมเปญนี้มีเป้าหมายเพื่อขโมยสกุลเงินดิจิทัลเป็นหลัก
