Nova Ameaça APT com Potencial de Danos Globais

Em um contexto de segurança cibernética extremamente delicado, ressurge a ameaça conhecida como DarkCasino, que se destaca pela exploração de uma vulnerabilidade no software WinRAR, com repercussões significativas na área de segurança cibernética em escala global.

Identificado pela primeira vez em 2021 pelo NSFOCUS Security Labs, o DarkCasino ganhou notoriedade ao explorar uma falha de segurança no software WinRAR. Recentemente, esse grupo APT (Ameaça Persistente Avançada) foi vinculado à exploração da vulnerabilidade zero-day CVE-2023-38831, com uma pontuação CVSS de 7,8. Essa falha representa uma ameaça significativa, pois pode ser explorada para lançar cargas maliciosas.

Em agosto de 2023, o Grupo-IB divulgou ataques reais que exploram essa vulnerabilidade, direcionados a fóruns de negociação online desde pelo menos abril do mesmo ano. O objetivo desses ataques é entregar uma carga final denominada DarkMe, um Trojan Visual Basic atribuído ao DarkCasino.

A NSFOCUS, renomada no cenário global de cibersegurança, caracteriza o DarkCasino como um ator “economicamente motivado” com sólida capacidade técnica e de aprendizagem, destacando sua tendência à integração de várias tecnologias populares de ataques APT em suas ofensivas.

O malware DarkCasino é multifuncional, capaz de coletar informações do host, capturar telas, manipular arquivos e o Registro do Windows, executar comandos arbitrários e atualizar-se automaticamente no host comprometido. Inicialmente associado a uma campanha de phishing orquestrada pelo grupo EvilNum, direcionada a plataformas de jogos de azar online, criptomoedas e crédito na Europa e Ásia, o DarkCasino agora é considerado uma ameaça mais ampla.

A NSFOCUS, que continua monitorando as atividades maliciosas desde sua descoberta, descartou qualquer ligação conhecida a autores específicos de ameaças. Marcio Oliveira, engenheiro de soluções da NSFOCUS para América Latina, destaca que diversos grupos, incluindo APT28, APT40, Dark Pink, Ghostwriter, Konni e Sandworm, aderiram à exploração da vulnerabilidade CVE-2023-38831 nos últimos meses.

Ele alerta sobre as cadeias de ataque do Ghostwriter, que, ao explorar essa falha, abrem caminho para o PicassoLoader, um malware intermediário que atua como carregador para outras cargas úteis. A origem precisa do DarkCasino permanece desconhecida, inicialmente operando em países do Mediterrâneo e outras nações asiáticas com forte presença em serviços financeiros online.

No entanto, à medida que os métodos de phishing evoluíram, os ataques agora têm alcance global, impactando usuários de criptomoedas em todo o mundo.

editora: