卡巴斯基網路安全專家剛發現了北韓駭客組織 Lazarus 的複雜操作。該組織透過針對加密貨幣社群的虛假去中心化遊戲,利用了 Google Chrome 零日漏洞 (CVE-2024-4947)。
這次攻擊於 2024 年 5 月 13 日發現,基於一項特別精心設計的策略。 Lazarus 創建了一款名為「DeTankZone」的遊戲,這是一款名為 DeFiTankLand 的合法遊戲的詐騙副本。為了吸引受害者,海盜們進行了在社群網路(尤其是 X 和 LinkedIn)上以及透過有針對性的電子郵件進行積極的促銷活動。
該遊戲檔案大小為 400 MB,乍看之下似乎沒什麼壞處。然而,真正的危險潛伏在 detankzone[.]com 網站上,其中隱藏的腳本利用了 Chrome 的 JavaScript 引擎 V8 中的類型混淆漏洞。
Lazarus 再次成為網路駭客的幕後黑手
利用此缺陷,駭客可以透過 JIT Maglev 編譯器破壞瀏覽器內存,從而存取整個 Chrome 進程。攻擊者因此可以恢復 cookie、身份驗證令牌、保存的密碼和瀏覽歷史記錄。
為了繞過 V8 引擎隔離,Lazarus 使用了第二個漏洞,允許遠端執行程式碼。然後部署識別 shellcode 來評估受感染機器的價值,收集有關處理器、BIOS 和作業系統的資訊。
幸運的是,Google 反應迅速,於 5 月 25 日透過 Chrome 版本 125.0.6422.60/.61 部署了修復。如果您定期更新瀏覽器,您應該已經收到該補丁。否則,我們建議您檢查是否使用最新的瀏覽器更新。
儘管卡巴斯基無法觀察到攻擊的後期階段,但隨著該組織從誘殺站點中刪除了他們的漏洞,有跡象表明一如既往,實現他們在加密貨幣領域的目標。因此,如果您是加密社群的一員,最好保持謹慎。
詢問我們最新的!
如果您正在尋找最好的 Android 平板電腦,那麼您來對地方了!我們的平板電腦購買指南可協助您在市場上眾多型號和所有品牌中做出選擇。聽從領隊 !
電腦購買指南
來自 CarWoW YouTube 頻道的 Mat Watson 剛剛進行了一項相當獨特的測試。這個想法?駕駛六輛電動 SUV 達到極限,看看哪一輛能跑得最遠。所有人都在同一天、同一條路線上…
電動車
在 2025 年專門討論迪士尼新聞的新會議之際,這家大耳朵公司終於透露了法國用戶分享其 Disney+ 帳戶所需支付的費用。 2024 年 12 月 10 日這個星期二,迪士尼…
迪士尼+
Prime Video、Games Workshop 和《戰鎚 40K》系列的製作人終於就該節目的創意方向達成一致,該程式的開發工作因此可以開始。這是在空中,現在是官方的。戰鎚系列...
亞馬遜 Prime 視頻
iOS 和 macOS 中的安全漏洞允許惡意應用程式未經許可存取您的 iCloud 資料。如果您的裝置不是最新的,您的個人資訊可能會受到損害。 iOS 18 和 macOS Sequoia,最新的…
iPhone
《蜘蛛人4》的劇情正慢慢地開始揭曉。它本質上是基於《蜘蛛人 24/7》漫畫書。在三部曲以《蜘蛛人:無路回家》結尾的神化結束後,於...
電視
摩托羅拉於2023 年被放棄,但在2024 年又給了「Ultra」機型一次機會。旗手競爭。賣了幾百歐元...
測試
由於在 Edge 上整合了 WebUI 2.0,微軟瀏覽器在 Windows 11 上的響應能力和速度都得到了提高。如果微軟採取...
視窗
Windows 11 的工作列中有一個快捷方式,可讓您開啟該工具來存取表情符號、GIF 和剪貼簿。在我們的智慧型手機上,我們習慣於能夠快速存取表情符號和 GIF,當我們…
視窗
三星正在為其 Galaxy S25 準備一項重大突破,其技術可以使無線充電更加可靠和方便,同時使配件的使用更加容易。 Galaxy S25 是 Galaxy S24 的後繼產品,代表了下一代智慧型手機…
三星 Galaxy S