Los ataques han llegado a usuarios de criptomonedas en todo el mundo
Un grupo de piratas informáticos que aprovechó una falla de seguridad recientemente revelada en el software WinRAR como un día cero ha sido categorizado ahora como una amenaza persistente avanzada (APT) completamente nueva.
La empresa de ciberseguridad NSFOCUS describió a DarkCasino como un actor "motivado económicamente" que salió a la luz por primera vez en 2021.
"DarkCasino es un actor de amenazas APT con una gran capacidad técnica y de aprendizaje, que es bueno para integrar varias populares tecnologías de ataque APT en su proceso de ataque", dijo la compañía en un análisis.
"Los ataques lanzados por el grupo APT DarkCasino son muy frecuentes, lo que demuestra un fuerte deseo de robar propiedades en línea".
DarkCasino se vinculó más recientemente con la explotación de día cero de CVE-2023-38831 (puntuación CVSS: 7,8), una falla de seguridad que puede utilizarse como arma para lanzar cargas útiles maliciosas.
En agosto de 2023, Group-IB reveló ataques del mundo real que utilizaban la vulnerabilidad como arma y se dirigieron a foros comerciales en línea al menos desde abril de 2023 para entregar una carga útil final llamada DarkMe, que es un troyano de Visual Basic atribuido a DarkCasino.
El malware está equipado para recopilar información del host, tomar capturas de pantalla, manipular archivos y el Registro de Windows, ejecutar comandos arbitrarios y actualizarse automáticamente en el host comprometido.
Si bien DarkCasino se clasificó anteriormente como una campaña de phishing orquestada por el grupo Evilnum dirigida a plataformas de crédito, criptomonedas y juegos de azar en línea europeas y asiáticas, NSFOCUS dijo que su seguimiento continuo de las actividades del adversario le ha permitido descartar cualquier conexión potencial con actores de amenazas conocidos.
Actualmente se desconoce la procedencia exacta del actor de la amenaza.
"Al principio, DarkCasino operaba principalmente en países alrededor del Mediterráneo y otros países asiáticos utilizando servicios financieros en línea", dijo.
"Más recientemente, con el cambio de los métodos de phishing, sus ataques han llegado a usuarios de criptomonedas en todo el mundo, incluso en países asiáticos que no hablan inglés, como Corea del Sur y Vietnam".
Múltiples actores de amenazas se han sumado en los últimos meses al tren de explotación CVE-2023-38831, incluidos APT28, APT29, APT40, Dark Pink, Ghostwriter, Konni y Sandworm.
Se ha observado que las cadenas de ataque de Ghostwriter que aprovechan la deficiencia allanan el camino para PicassoLoader, un malware intermedio que actúa como cargador para otras cargas útiles.
"La vulnerabilidad WinRAR CVE-2023-38831 traída por el grupo APT DarkCasino trae incertidumbres a la situación del ataque APT en la segunda mitad de 2023", dijo NSFOCUS.
"Muchos grupos APT han aprovechado el período ventana de esta vulnerabilidad para atacar objetivos críticos como los gobiernos, con la esperanza de eludir el sistema de protección de los objetivos y lograr sus propósitos".