ClickCease Exploit WinRAR de DarkCasino: Surge una nueva amenaza APT

Tabla de contenidos

Únase a nuestro popular boletín

Únase a más de 4.500 profesionales de Linux y el código abierto.

2 veces al mes. Sin spam.

Exploit WinRAR de DarkCasino: Surge una nueva amenaza APT

Wajahat Raja

30 de noviembre de 2023 - Equipo de expertos TuxCare

En una reciente revelación de ciberseguridad, ha surgido una formidable y muy sofisticada ciberamenaza que responde al nombre de DarkCasino. Inicialmente percibida como una campaña de phishing orquestada por el grupo EvilNum, recientes análisis de la empresa de ciberseguridad NSFOCUS han reclasificado a DarkCasino como una amenaza persistente avanzada (APT). Este cambio de clasificación se atribuye a las notables capacidades técnicas de DarkCasino y a su hábil integración de varias tecnologías de ataque APT. En este blog, desvelaremos los detalles de este DarkCasino WinRAR, arrojando luz sobre todos los detalles importantes.

 

DarkCasino: Una visión general


NSFOCUS, en su evaluación, describe DarkCasino como un
"motivado económicamente" que llamó la atención por primera vez en 2021. Con una sólida base técnica y una gran habilidad para incorporar tecnologías de ataque APT populares en sus operaciones, DarkCasino se ha convertido en un actor de ciberamenazas persistente y sofisticado.


Actividad maliciosa de DarkCasino


Inicialmente percibida como una campaña de phishing, las continuas actividades de DarkCasino han llevado a NSFOCUS a descartar cualquier conexión con actores de amenazas conocidos. Las primeras operaciones de este agente de amenazas se concentraron en países del Mediterráneo y otras regiones asiáticas, principalmente en servicios financieros en línea. Sin embargo, los recientes cambios en los métodos de phishing han ampliado el alcance de DarkCasino a usuarios de criptomonedas de todo el mundo, incluidos países asiáticos de habla no inglesa como Corea del Sur y Vietnam.


DarkCasino WinRAR Exploit y CVE-2023-38831


Los exploits más recientes de DarkCasino implican la
explotación de día cero de CVE-2023-38831, un fallo de seguridad con una importante puntuación CVSS de 7,8. Este fallo se ha convertido en el arma preferida de DarkCasino, permitiendo el despliegue de cargas maliciosas. En agosto de 2023Group-IB reveló ataques en el mundo real explotando vulnerabilidades de softwaredirigidos específicamente a foros de comercio en línea desde al menos abril de 2023. La carga útil final, denominada DarkMe, es un troyano Visual Basic atribuido a DarkCasino.


DarkMe: una potente amenaza


DarkMe, equipado con capacidades multifacéticas, representa una grave amenaza para los hosts comprometidos. Sus funcionalidades incluyen la recopilación de información del host, la captura de pantallas, la manipulación de archivos y del Registro de Windows, la ejecución de comandos arbitrarios y la auto-actualización en el host comprometido. La sofisticación de DarkMe subraya el compromiso de DarkCasino para lograr sus objetivos.


Impacto mundial y procedencia incierta


Aunque DarkCasino se asoció inicialmente con la campaña de phishing del grupo EvilNum dirigida a plataformas europeas y asiáticas de juego en línea, criptomoneda y crédito, NSFOCUS afirma que el rastreo continuo ha descartado conexiones con actores de amenazas conocidos. El origen exacto de la amenaza sigue siendo desconocido, lo que añade un elemento de misterio a la prevención de ciberataques.
prevención de ciberataques.


Colaboración de los actores de la amenaza


Múltiples actores de amenazas se han unido al carro de la explotación de
CVE-2023-38831 en los últimos meses. Entidades notables como APT28, APT29, APT40, Dark Pink, Ghostwriter, Konni y Sandworm han aprovechado esta vulnerabilidad. Las cadenas de ataque de Ghostwriter, en particular, han allanado el camino para PicassoLoader, un malware intermedio que actúa como cargador de cargas útiles adicionales.


Impacto de la vulnerabilidad de WinRAR en el panorama de las APT


El
vulnerabilidad de WinRARCVE-2023-38831, introducida por la campaña de malware campaña de malware DarkCasinoha planteado incertidumbres en el panorama de los ataques APT en la segunda mitad de 2023. Aprovechando el periodo ventana de esta vulnerabilidad, varios grupos APT en ciberseguridad han apuntado a entidades críticas como gobiernos, con el objetivo de eludir sus sistemas de protección y cumplir sus objetivos.


Conclusión


La evolución de DarkCasino de una campaña de phishing a una amenaza persistente avanzada pone de manifiesto el cambiante panorama de las amenazas a la ciberseguridad.
panorama de las amenazas a la ciberseguridad. La explotación del fallo de seguridad fallo de seguridad de WinRAR no sólo ha puesto de manifiesto la destreza técnica de DarkCasino, sino que también ha desencadenado un esfuerzo de colaboración entre varios actores de amenazas. A medida que evolucionan las medidas de ciberseguridad, la vigilancia y las estrategias de defensa proactivas deben mantenerse. estrategias de defensa proactivas para mitigar los riesgos que plantean las ciberamenazas emergentes. ciberamenazas emergentes.

 

Las fuentes de este artículo incluyen artículos en The Hacker News y ISP.PAGE.

 

Resumen
Exploit WinRAR de DarkCasino: Surge una nueva amenaza APT
Nombre del artículo
Exploit WinRAR de DarkCasino: Surge una nueva amenaza APT
Descripción
Descubra la última amenaza, DarkCasino explota el fallo WinRAR. Manténgase informado y protegerse contra DarkCasino WinRAR explotar ahora.
Autor
Nombre del editor
TuxCare
Logotipo de la editorial

¿Desea automatizar la aplicación de parches de vulnerabilidad sin reiniciar el núcleo, dejar el sistema fuera de servicio o programar ventanas de mantenimiento?

Más información sobre Live Patching con TuxCare

Conviértete en escritor invitado de TuxCare

Empezar

Correo

Únete a

4,500

Profesionales de Linux y código abierto

Suscríbase a
nuestro boletín