Un grupo de piratas informáticos que aprovechó una falla de seguridad recientemente revelada en el software WinRAR como un día cero ahora ha sido categorizado como una amenaza persistente avanzada (APT) completamente nueva.
La empresa de ciberseguridad NSFOCUS ha descrito casino oscuro como un actor «motivado económicamente» que salió a la luz por primera vez en 2021.
«DarkCasino es un actor de amenazas APT con una gran capacidad técnica y de aprendizaje, que es bueno integrando varias tecnologías de ataque APT populares en su proceso de ataque», dijo la compañía. dicho en un análisis.
«Los ataques lanzados por el grupo APT DarkCasino son muy frecuentes, lo que demuestra un fuerte deseo de robar propiedades en línea.»
DarkCasino se vinculó más recientemente con la explotación de día cero de CVE-2023-38831 (puntuación CVSS: 7,8), una falla de seguridad que puede utilizarse como arma para lanzar cargas útiles maliciosas.
En agosto de 2023, Group-IB reveló ataques del mundo real que utilizaban la vulnerabilidad como arma en foros comerciales en línea al menos desde abril de 2023 para entregar una carga útil final llamada DarkMe, que es un troyano de Visual Basic atribuido a DarkCasino.
El malware está equipado para recopilar información del host, tomar capturas de pantalla, manipular archivos y el Registro de Windows, ejecutar comandos arbitrarios y actualizarse automáticamente en el host comprometido.
Si bien DarkCasino fue clasificado anteriormente como una campaña de phishing orquestada por el grupo EvilNum dirigida a plataformas de crédito, criptomonedas y juegos de azar en línea europeas y asiáticas, NSFOCUS dijo que su seguimiento continuo de las actividades del adversario le ha permitido descartar cualquier conexión potencial con actores de amenazas conocidos.
Actualmente se desconoce la procedencia exacta del actor de la amenaza.
«Al principio, DarkCasino operaba principalmente en países alrededor del Mediterráneo y otros países asiáticos utilizando servicios financieros en línea», dijo.
«Más recientemente, con el cambio de los métodos de phishing, sus ataques han llegado a usuarios de criptomonedas en todo el mundo, incluyendo incluso países asiáticos que no hablan inglés, como Corea del Sur y Vietnam».
Múltiples actores de amenazas se han sumado al tren de explotación CVE-2023-38831 en los últimos meses, incluidos APT28, APT40, Dark Pink, Ghostwriter, Konni y Sandworm.
Se ha observado que las cadenas de ataque de Ghostwriter que aprovechan la deficiencia allanan el camino para PicassoLoader, un malware intermedio que actúa como cargador para otras cargas útiles.
«La vulnerabilidad WinRAR CVE-2023-38831 traída por el grupo APT DarkCasino trae incertidumbres a la situación del ataque APT en la segunda mitad de 2023», dijo NSFOCUS.
«Muchos grupos APT han aprovechado el período ventana de esta vulnerabilidad para atacar objetivos críticos como los gobiernos, con la esperanza de eludir el sistema de protección de los objetivos y lograr sus propósitos».