DarkCasino: ameaça APT volta a ser detectada com alto potencial de dano

Ameaça explora vulnerabilidade WinRAR, com impactos mundiais na área de segurança cibernética

Compartilhar:

A ameaça nomeada como DarkCasino voltou a entrar no radar dos pesquisadores da NSFOCUS Security Labs. O grupo foi identificado pela primeira vez em 2021 pelo laboratório, quando se destacou pela utilização de uma falha de segurança no software WinRAR. Recentemente, o DarkCasino APT foi associado à exploração zero day CVE-2023-38831 (pontuação CVSS: 7,8), uma falha de segurança que pode ser transformada em arma para lançar cargas maliciosas. 



Em agosto de 2023, o Grupo-IB divulgou ataques do mundo real que exploram a vulnerabilidade, visando fóruns de negociação online desde pelo menos abril deste ano, para entregar uma carga final chamada DarkMe, um Trojan Visual Basic atribuído ao DarkCasino. A NSFOCUS descreveu o DarkCasino como um ator “economicamente motivado” com forte capacidade técnica e de aprendizagem, adepto da integração de várias tecnologias populares de ataque APT em suas ofensivas.



O malware está equipado para coletar informações do host, fazer capturas de tela, manipular arquivos e o Registro do Windows, executar comandos arbitrários e atualizar-se automaticamente no host comprometido. Inicialmente, o DarkCasino foi classificado como uma campanha de phishing orquestrada pelo grupo EvilNum, visando plataformas de jogos de azar online, criptomoedas e crédito na Europa e na Ásia. No entanto, a empresa, que segue monitorando as atividades maliciosas desde a sua descoberta, descartou quaisquer ligações a autores conhecidos de ameaças.



De acordo com Marcio Oliveira, engenheiro de soluções da NSFOCUS para América Latina, vários grupos aderiram ao movimento de exploração CVE-2023-38831 nos últimos meses, incluindo APT28, APT40, Dark Pink, Ghostwriter, Konni e Sandworm . “Observou-se que cadeias de ataque de Ghostwriter que exploram essa falha abrem caminho para o PicassoLoader, um malware intermediário que atua como um carregador para outras cargas úteis”, alerta.



A origem exata do DarkCasino é atualmente desconhecida. No início, ele operava principalmente em países mediterrâneos e outras nações asiáticas que utilizavam serviços financeiros online. Porém, à medida que os métodos de phishing mudaram, os ataques atingiram utilizadores de criptomoedas em todo o mundo.



Destaques

Colunas & Blogs

Conteúdos Relacionados

Security Report | Overview

45% das empresas sofreram interrupções relacionadas a terceiros nos últimos dois anos

De acordo com levantamento, a gestão bem-sucedida de riscos de cibersegurança de terceiros depende da capacidade da organização de segurança...
Security Report | Overview

8 mentiras mais utilizadas por golpistas em canais de relacionamentos

Empresa alerta sobre as “desculpas” mais comuns entre golpistas em apps, sites de paquera e redes sociais. Saiba como identificar...
Security Report | Overview

Setor financeiro segue como um dos mais visados por grupos de ransomware

Ainda segundo levantamento, a entrega de malware em nuvem representou 50% dos downloads maliciosos neste setor, em tendência com outros...
Security Report | Overview

68% das organizações utilizarão ferramentas com IA para combater ameaças em 2024

Os entrevistados identificaram várias maneiras pelas quais a IA poderia melhorar a postura de segurança de suas organizações. Para 67%...