Em um contexto altamente delicado, como o da segurança cibernética, surge uma ameaça conhecida como DarkCasino. O grupo foi inicialmente identificado em 2021 pelo NSFOCUS Security Labs, quando chamou a atenção pelo aproveitamento de uma vulnerabilidade no software WinRAR. Recentemente, o DarkCasino APT foi vinculado à exploração de uma vulnerabilidade zero day, CVE-2023-38831 (pontuação CVSS: 7,8), que pode ser transformada em uma ferramenta para lançar cargas maliciosas.
No mês de agosto de 2023, o Grupo-IB revelou ataques reais que exploram essa vulnerabilidade, visando fóruns de negociação online desde, pelo menos, abril deste ano. O objetivo era entregar uma carga final chamada DarkMe, um Trojan Visual Basic associado ao DarkCasino. A NSFOCUS, uma autoridade global em cibersegurança, descreve o DarkCasino como um ator “economicamente motivado” com habilidades técnicas avançadas, que incorpora diversas tecnologias populares de ataque APT em suas operações.
O malware tem a capacidade de coletar informações do host, capturar telas, manipular arquivos e o Registro do Windows, executar comandos arbitrários e atualizar-se automaticamente no host comprometido. Inicialmente, o DarkCasino foi classificado como uma campanha de phishing associada ao grupo EvilNum, mirando plataformas de jogos de azar online, criptomoedas e crédito na Europa e Ásia. Contudo, a NSFOCUS, que continua monitorando as atividades maliciosas desde sua descoberta, descartou quaisquer vínculos com autores de ameaças conhecidos.
Segundo Marcio Oliveira, engenheiro de soluções da NSFOCUS para a América Latina, vários grupos aderiram à exploração da CVE-2023-38831 nos últimos meses, incluindo APT28, APT40, Dark Pink, Ghostwriter, Konni e Sandworm. Ele alerta que as cadeias de ataque de Ghostwriter que exploram essa falha abrem caminho para o PicassoLoader, um malware intermediário que serve como carregador para outras cargas úteis.
A origem precisa do DarkCasino é atualmente desconhecida. Inicialmente, suas operações eram centradas em países mediterrâneos e outras nações asiáticas que faziam uso de serviços financeiros online. No entanto, à medida que as táticas de phishing evoluíram, os ataques se expandiram para atingir usuários de criptomoedas em todo o mundo.
