Um grupo de hackers que explorou uma falha de segurança recentemente divulgada no software WinRAR como um zero-day agora foi categorizado como uma nova ameaça persistente avançada (APT) completamente diferente.
A empresa de cibersegurança NSFOCUS descreveu DarkCasino como um ator "economicamente motivado" que surgiu pela primeira vez em 2021.
"DarkCasino é um ator de ameaça APT com forte habilidade técnica e de aprendizado, que é bom em integrar várias tecnologias de ataque APT populares em seu processo de ataque", disse a empresa em uma análise.
"Os ataques lançados pelo grupo APT DarkCasino são muito frequentes, demonstrando um forte desejo de roubar propriedades online."
DarkCasino foi mais recentemente associado à exploração zero-day do
CVE-2023-38831
(pontuação CVSS: 7.8), uma falha de segurança que pode ser usada para lançar payloads.
Em agosto de 2023, o Group-IB divulgou ataques reais de vulnerabilidades pelo menos desde abril de 2023 para entregar um payload chamada DarkMe, que é um cavalo de Troia do Visual Basic atribuído ao DarkCasino.
O malware está equipado para coletar informações do host, tirar capturas de tela, manipular arquivos e Registro do Windows, executar comandos arbitrários e se autoatualizar no host comprometido.
Embora o DarkCasino tenha sido anteriormente classificado como uma campanha de phishing orquestrada pelo grupo Evilnum visando plataformas de jogos online, criptomoedas e crédito europeias e asiáticas, a NSFOCUS disse que seu acompanhamento contínuo das atividades do adversário permitiu descartar qualquer conexão potencial com atores de ameaças conhecidos.
A origem exata do ator da ameaça é atualmente desconhecida.
"Nos primeiros dias, o DarkCasino operava principalmente em países ao redor do Mediterrâneo e outros países asiáticos que usam serviços financeiros online", disse.
"Recentemente, com a mudança de métodos de phishing, seus ataques atingiram usuários de criptomoedas em todo o mundo, incluindo até países asiáticos não falantes de inglês, como Coreia do Sul e Vietnã."
Vários atores de ameaças se juntaram à exploração
CVE-2023-38831
nos últimos meses, incluindo APT28, APT29, APT40, Dark Pink, GhostWriter, Konni e Sandworm.
As cadeias de ataque de Ghostwriter explorando a falha foram observadas para abrir caminho para o PicassoLoader, um malware intermediário que age como um carregador para outros payloads.
"A vulnerabilidade WinRAR
CVE-2023-38831
trazida pelo grupo APT DarkCasino traz incertezas para a situação de ataque APT no segundo semestre de 2023", disse NSFOCUS.
"Muitos grupos APT aproveitaram o período de janela dessa vulnerabilidade para atacar alvos críticos como governos, esperando burlar o sistema de proteção dos alvos e alcançar seus objetivos."
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...