DarkCasino: ameaça APT volta a ser detectada com alto potencial de dano

Ameaça explora vulnerabilidade WinRAR, com impactos mundiais na área de segurança cibernética

Compartilhar:

A ameaça nomeada como DarkCasino voltou a entrar no radar dos pesquisadores da NSFOCUS Security Labs. O grupo foi identificado pela primeira vez em 2021 pelo laboratório, quando se destacou pela utilização de uma falha de segurança no software WinRAR. Recentemente, o DarkCasino APT foi associado à exploração zero day CVE-2023-38831 (pontuação CVSS: 7,8), uma falha de segurança que pode ser transformada em arma para lançar cargas maliciosas. 



Em agosto de 2023, o Grupo-IB divulgou ataques do mundo real que exploram a vulnerabilidade, visando fóruns de negociação online desde pelo menos abril deste ano, para entregar uma carga final chamada DarkMe, um Trojan Visual Basic atribuído ao DarkCasino. A NSFOCUS descreveu o DarkCasino como um ator “economicamente motivado” com forte capacidade técnica e de aprendizagem, adepto da integração de várias tecnologias populares de ataque APT em suas ofensivas.



O malware está equipado para coletar informações do host, fazer capturas de tela, manipular arquivos e o Registro do Windows, executar comandos arbitrários e atualizar-se automaticamente no host comprometido. Inicialmente, o DarkCasino foi classificado como uma campanha de phishing orquestrada pelo grupo EvilNum, visando plataformas de jogos de azar online, criptomoedas e crédito na Europa e na Ásia. No entanto, a empresa, que segue monitorando as atividades maliciosas desde a sua descoberta, descartou quaisquer ligações a autores conhecidos de ameaças.



De acordo com Marcio Oliveira, engenheiro de soluções da NSFOCUS para América Latina, vários grupos aderiram ao movimento de exploração CVE-2023-38831 nos últimos meses, incluindo APT28, APT40, Dark Pink, Ghostwriter, Konni e Sandworm . “Observou-se que cadeias de ataque de Ghostwriter que exploram essa falha abrem caminho para o PicassoLoader, um malware intermediário que atua como um carregador para outras cargas úteis”, alerta.



A origem exata do DarkCasino é atualmente desconhecida. No início, ele operava principalmente em países mediterrâneos e outras nações asiáticas que utilizavam serviços financeiros online. Porém, à medida que os métodos de phishing mudaram, os ataques atingiram utilizadores de criptomoedas em todo o mundo.



Conteúdos Relacionados

Security Report | Overview

Ministério da Gestão e Inovação publica guias orientativos de SI para população

Iniciativa inclui uma revista em quadrinhos para a população e duas publicações para ajudar quem atua com tecnologia no serviço...
Security Report | Overview

Caso Defesa Civil reforça necessidade de proteção em sistemas críticos, alerta pesquisa

O caso está sendo investigado pelas autoridades, que apuram a possibilidade de acesso não autorizado à plataforma utilizada para o...
Security Report | Overview

Análise de ameaças emite alerta para campanhas de phishing por código

O golpe destaca-se por sua natureza de 'rastro zero'. Os criminosos utilizam uma estratégia focada em convencer o usuário a...
Security Report | Overview

IA acelera ataques virtuais e amplia exigência por Segurança preventiva, aponta threat intel

Check Point e OpenAI expandem parceria estratégica para embutir modelos cibernéticos avançados diretamente nas ferramentas de proteção corporativa, combatendo o...