Nel panorama della sicurezza informatica, emerge una nuova minaccia: DarkCasino. Questo gruppo di hacker, identificato per la prima volta nel 2021, si è distinto per l’uso di una falla di sicurezza recentemente scoperta nel software WinRAR, sfruttandola come zero-day. La società di cybersecurity NSFOCUS descrive DarkCasino come un attore “economicamente motivato” con una forte capacità tecnica e di apprendimento, abile nell’integrare varie tecnologie di attacco APT popolari nel suo processo di attacco.
DarkCasino e l’esploitazione di CVE-2023-38831
Recentemente, l’APT DarkCasino è stato collegato allo sfruttamento dello zero-day CVE-2023-38831 (punteggio CVSS: 7.8), una falla di sicurezza che può essere armata per lanciare payload dannosi. Nel mese di agosto 2023, Group-IB ha rivelato attacchi nel mondo reale che sfruttano la vulnerabilità, mirati a forum di trading online almeno da aprile 2023 per consegnare un payload finale chiamato DarkMe, un trojan Visual Basic attribuito a DarkCasino.
Capacità del malware DarkCasino
Il malware è equipaggiato per raccogliere informazioni sull’host, scattare screenshot, manipolare file e il Registro di Windows, eseguire comandi arbitrari e auto-aggiornarsi sull’host compromesso. Inizialmente, DarkCasino era classificato come una campagna di phishing orchestrata dal gruppo EvilNum, mirata a piattaforme di gioco d’azzardo online, criptovalute e crediti in Europa e Asia. Tuttavia, NSFOCUS, attraverso il continuo monitoraggio delle attività del nemico, ha escluso qualsiasi collegamento con attori di minacce noti.
L’Impatto globale dell’APT DarkCasino
L’origine esatta dell’attore della minaccia è attualmente sconosciuta. Nei primi giorni, DarkCasino operava principalmente in paesi del Mediterraneo e altre nazioni asiatiche che utilizzavano servizi finanziari online. Più recentemente, con il cambiamento dei metodi di phishing, i suoi attacchi hanno raggiunto utenti di criptovalute in tutto il mondo, inclusi paesi asiatici non anglofoni come Corea del Sud e Vietnam.
Altri attori della Minaccia e l’Esploitazione di CVE-2023-38831
Diversi attori della minaccia si sono uniti al carrozzone dell’esploitazione di CVE-2023-38831 negli ultimi mesi, tra cui APT28, APT40, Dark Pink, Ghostwriter, Konni e Sandworm. Le catene di attacco di Ghostwriter che sfruttano questa carenza sono state osservate per aprire la strada a PicassoLoader, un malware intermedio che funge da caricatore per altri payload.