DarkCasino: ameaça APT volta a ser detectada com alto potencial de dano

Ameaça explora vulnerabilidade WinRAR, com impactos mundiais na área de segurança cibernética

Compartilhar:

A ameaça nomeada como DarkCasino voltou a entrar no radar dos pesquisadores da NSFOCUS Security Labs. O grupo foi identificado pela primeira vez em 2021 pelo laboratório, quando se destacou pela utilização de uma falha de segurança no software WinRAR. Recentemente, o DarkCasino APT foi associado à exploração zero day CVE-2023-38831 (pontuação CVSS: 7,8), uma falha de segurança que pode ser transformada em arma para lançar cargas maliciosas. 



Em agosto de 2023, o Grupo-IB divulgou ataques do mundo real que exploram a vulnerabilidade, visando fóruns de negociação online desde pelo menos abril deste ano, para entregar uma carga final chamada DarkMe, um Trojan Visual Basic atribuído ao DarkCasino. A NSFOCUS descreveu o DarkCasino como um ator “economicamente motivado” com forte capacidade técnica e de aprendizagem, adepto da integração de várias tecnologias populares de ataque APT em suas ofensivas.



O malware está equipado para coletar informações do host, fazer capturas de tela, manipular arquivos e o Registro do Windows, executar comandos arbitrários e atualizar-se automaticamente no host comprometido. Inicialmente, o DarkCasino foi classificado como uma campanha de phishing orquestrada pelo grupo EvilNum, visando plataformas de jogos de azar online, criptomoedas e crédito na Europa e na Ásia. No entanto, a empresa, que segue monitorando as atividades maliciosas desde a sua descoberta, descartou quaisquer ligações a autores conhecidos de ameaças.



De acordo com Marcio Oliveira, engenheiro de soluções da NSFOCUS para América Latina, vários grupos aderiram ao movimento de exploração CVE-2023-38831 nos últimos meses, incluindo APT28, APT40, Dark Pink, Ghostwriter, Konni e Sandworm . “Observou-se que cadeias de ataque de Ghostwriter que exploram essa falha abrem caminho para o PicassoLoader, um malware intermediário que atua como um carregador para outras cargas úteis”, alerta.



A origem exata do DarkCasino é atualmente desconhecida. No início, ele operava principalmente em países mediterrâneos e outras nações asiáticas que utilizavam serviços financeiros online. Porém, à medida que os métodos de phishing mudaram, os ataques atingiram utilizadores de criptomoedas em todo o mundo.



Destaques

Colunas & Blogs

Conteúdos Relacionados

Security Report | Overview

Threat Intel detecta nova técnica de ransomware executado pelo navegador

Especialistas mostram que modelo de IA conectou recursos legítimos do navegador para construir uma cadeia prática de ataque sem exploração...
Security Report | Overview

Project Lightwell: Players de TI formam parceria contra vulnerabilidades de software

Parceria une descoberta de falhas, aplicação de patches virtuais e remediação automatizada para neutralizar ameaças Cibernéticas na velocidade da inteligência...
Security Report | Overview

ANPD abre processo sancionador contra instituto de saúde por vazamento de dados

Ataque cibernético de ransomware expôs dados sensíveis de saúde de usuários de unidades públicas geridas pelo Instituto Saúde e Cidadania....
Security Report | Overview

Defesa Civil: MFA se torna demanda urgente, alerta inteligência de ameaças

Especialistas alertam para os riscos do uso de credenciais legítimas comprometidas em sistemas críticos e destacam a urgência de aplicar...