Especialistas descobrem Nova Ameaça APT Emergente que Explora Falha do WinRAR
17 de Novembro de 2023

Um grupo de hackers que explorou uma falha de segurança recentemente divulgada no software WinRAR como um zero-day agora foi categorizado como uma nova ameaça persistente avançada (APT) completamente diferente.

A empresa de cibersegurança NSFOCUS descreveu DarkCasino como um ator "economicamente motivado" que surgiu pela primeira vez em 2021.


"DarkCasino é um ator de ameaça APT com forte habilidade técnica e de aprendizado, que é bom em integrar várias tecnologias de ataque APT populares em seu processo de ataque", disse a empresa em uma análise.

"Os ataques lançados pelo grupo APT DarkCasino são muito frequentes, demonstrando um forte desejo de roubar propriedades online."

DarkCasino foi mais recentemente associado à exploração zero-day do CVE-2023-38831 (pontuação CVSS: 7.8), uma falha de segurança que pode ser usada para lançar payloads.

Em agosto de 2023, o Group-IB divulgou ataques reais de vulnerabilidades pelo menos desde abril de 2023 para entregar um payload chamada DarkMe, que é um cavalo de Troia do Visual Basic atribuído ao DarkCasino.

O malware está equipado para coletar informações do host, tirar capturas de tela, manipular arquivos e Registro do Windows, executar comandos arbitrários e se autoatualizar no host comprometido.

Embora o DarkCasino tenha sido anteriormente classificado como uma campanha de phishing orquestrada pelo grupo Evilnum visando plataformas de jogos online, criptomoedas e crédito europeias e asiáticas, a NSFOCUS disse que seu acompanhamento contínuo das atividades do adversário permitiu descartar qualquer conexão potencial com atores de ameaças conhecidos.

A origem exata do ator da ameaça é atualmente desconhecida.

"Nos primeiros dias, o DarkCasino operava principalmente em países ao redor do Mediterrâneo e outros países asiáticos que usam serviços financeiros online", disse.


"Recentemente, com a mudança de métodos de phishing, seus ataques atingiram usuários de criptomoedas em todo o mundo, incluindo até países asiáticos não falantes de inglês, como Coreia do Sul e Vietnã."

Vários atores de ameaças se juntaram à exploração CVE-2023-38831 nos últimos meses, incluindo APT28, APT29, APT40, Dark Pink, GhostWriter, Konni e Sandworm.

As cadeias de ataque de Ghostwriter explorando a falha foram observadas para abrir caminho para o PicassoLoader, um malware intermediário que age como um carregador para outros payloads.

"A vulnerabilidade WinRAR CVE-2023-38831 trazida pelo grupo APT DarkCasino traz incertezas para a situação de ataque APT no segundo semestre de 2023", disse NSFOCUS.

"Muitos grupos APT aproveitaram o período de janela dessa vulnerabilidade para atacar alvos críticos como governos, esperando burlar o sistema de proteção dos alvos e alcançar seus objetivos."

Publicidade

Já viu o Cyberpunk Guide?

Imagine voltar ao tempo dos e-zines e poder desfrutar de uma boa revista contendo as últimas novidades, mas na pegada hacking old school.
Acesse gratuitamente o Cyberpunk Guide e fique por dentro dos mais modernos dispositivos usados pelos hackers. Saiba mais...