Des hackers nord-coréens exploitent une vulnérabilité zero-day de Chrome pour voler des cryptomonnaies
En août 2023, un groupe de hackers nord-coréens connu sous le nom de Citrine Sleet a exploité une vulnérabilité non divulguée dans les navigateurs basés sur Chrome pour cibler des organisations dans le but de voler des cryptomonnaies, selon un rapport de Microsoft.
Les chercheurs en cybersécurité de Microsoft ont d'abord détecté les activités des hackers le 19 août. Le groupe, Citrine Sleet, est notoire pour son intérêt pour le secteur des cryptomonnaies. Les hackers ont profité d'une faille zero-day dans le moteur Chromium, qui est la base de Chrome et d'autres navigateurs populaires, y compris Microsoft Edge. Cette vulnérabilité était inconnue de Google au moment de l'attaque, ne leur laissant aucune opportunité de publier un correctif avant son exploitation. Google a résolu le problème seulement deux jours plus tard, le 21 août.
Scott Westover, un porte-parole de Google, a confirmé à TechCrunch que le bug avait été corrigé mais n'a pas fourni d'autres commentaires.
Microsoft a contacté les clients qui ont été ciblés ou compromis mais n'a pas divulgué de détails spécifiques sur les victimes ou l'ampleur de l'attaque. Chris Williams, un porte-parole de Microsoft, a refusé de préciser combien d'organisations avaient été touchées.
Le rapport indique que Citrine Sleet est basé en Corée du Nord et se concentre principalement sur les institutions financières, en particulier celles impliquées dans la gestion des cryptomonnaies. Le groupe a mené des reconnaissances approfondies du paysage des cryptomonnaies et de ses acteurs clés dans le cadre de ses stratégies d'ingénierie sociale.
Citrine Sleet utilise des tactiques telles que la création de sites Web contrefaits qui imitent des plateformes de trading de cryptomonnaies légitimes. Ils utilisent ces sites pour distribuer de fausses candidatures à des emplois ou inciter les victimes à télécharger des portefeuilles de cryptomonnaies malveillants ou des applications de trading déguisées en logiciels légitimes. Le groupe utilise souvent un malware trojan unique appelé AppleJeus, conçu pour rassembler des informations nécessaires à la prise de contrôle des actifs en cryptomonnaies des victimes.
Le processus d'attaque commence par tromper les victimes pour qu'elles visitent un domaine contrôlé par les hackers. Par la suite, en exploitant une autre vulnérabilité dans le noyau Windows, les hackers peuvent installer un rootkit sur l'ordinateur de la victime. Un rootkit est un type de malware qui permet un accès profond au système d'exploitation, donnant ainsi aux hackers un contrôle total sur l'appareil compromis.
Les cryptomonnaies sont une cible lucrative pour les hackers nord-coréens depuis plusieurs années. Un panel du Conseil de sécurité des Nations Unies a rapporté que le régime a volé environ 3 milliards de dollars en cryptomonnaies entre 2017 et 2023. Face à des sanctions internationales strictes, le gouvernement de Kim Jong Un a de plus en plus recours au vol de cryptomonnaies pour financer son programme d'armement nucléaire.