A ameaça nomeada como DarkCasino voltou a entrar no radar dos pesquisadores da NSFOCUS Security Labs. O grupo foi identificado pela primeira vez em 2021 pelo laboratório, quando se destacou pela utilização de uma falha de segurança no software WinRAR. Recentemente, o DarkCasino APT foi associado à exploração zero day CVE-2023-38831 (pontuação CVSS: 7,8), uma falha de segurança que pode ser transformada em arma para lançar cargas maliciosas.
Em agosto de 2023, o Grupo-IB divulgou ataques do mundo real que exploram a vulnerabilidade, visando fóruns de negociação online desde pelo menos abril deste ano, para entregar uma carga final chamada DarkMe, um Trojan Visual Basic atribuído ao DarkCasino. A NSFOCUS descreveu o DarkCasino como um ator “economicamente motivado” com forte capacidade técnica e de aprendizagem, adepto da integração de várias tecnologias populares de ataque APT em suas ofensivas.
O malware está equipado para coletar informações do host, fazer capturas de tela, manipular arquivos e o Registro do Windows, executar comandos arbitrários e atualizar-se automaticamente no host comprometido. Inicialmente, o DarkCasino foi classificado como uma campanha de phishing orquestrada pelo grupo EvilNum, visando plataformas de jogos de azar online, criptomoedas e crédito na Europa e na Ásia. No entanto, a empresa, que segue monitorando as atividades maliciosas desde a sua descoberta, descartou quaisquer ligações a autores conhecidos de ameaças.
De acordo com Marcio Oliveira, engenheiro de soluções da NSFOCUS para América Latina, vários grupos aderiram ao movimento de exploração CVE-2023-38831 nos últimos meses, incluindo APT28, APT40, Dark Pink, Ghostwriter, Konni e Sandworm . “Observou-se que cadeias de ataque de Ghostwriter que exploram essa falha abrem caminho para o PicassoLoader, um malware intermediário que atua como um carregador para outras cargas úteis”, alerta.
A origem exata do DarkCasino é atualmente desconhecida. No início, ele operava principalmente em países mediterrâneos e outras nações asiáticas que utilizavam serviços financeiros online. Porém, à medida que os métodos de phishing mudaram, os ataques atingiram utilizadores de criptomoedas em todo o mundo.