El grupo DarkCasino APT está aprovechando la vulnerabilidad Zero-Day de WinRAR recientemente revelada y identificada como CVE-2023-38831.
Los investigadores de la empresa de ciberseguridad NSFOCUS analizaron el patrón de ataque de DarkCasino explotando la vulnerabilidad de WinRAR. El grupo APT, con motivos económicos, utilizó archivos especialmente diseñados en ataques de phishing contra usuarios del foro a través de publicaciones en foros comerciales en línea.
DarkCasino es un actor de amenazas APT con una gran capacidad técnica y de aprendizaje, que es bueno para integrar varias tecnologías de ataque APT populares en su proceso de ataque. Al principio, el grupo APT DarkCasino se basó principalmente en la idea de ataque de un atacante de APT llamado Evilnum y utilizó atajos maliciosos, esteganografía de imágenes y otras tecnologías para realizar ataques de phishing.
NSFOCUS Research Labs señaló que la explotación de la falla CVE-2023-38831 se puede integrar en ataques de phishing y pozos de agua. El investigador explicó que algunas variantes de explotación de la vulnerabilidad CVE-2023-38831 son difíciles de detectar y pueden permitir eludir las soluciones de protección de end-points.
Durante su fase inicial, DarkCasino realizó operaciones principalmente en países mediterráneos y otras naciones asiáticas, utilizando servicios financieros en línea. Recientemente, el grupo cambió los métodos de phishing y se dirigió a usuarios de criptomonedas en todo el mundo, incluidos incluso países asiáticos que no hablan inglés, como Corea del Sur y Vietnam.
Desde abril de 2023, el grupo DarkCasino APT comenzó a explotar la vulnerabilidad para distribuir el troyano DarkMe. El malware admite múltiples funciones, como recopilar información del host, realizar capturas de pantalla, manipulación de archivos, manipulación del registro, ejecución de comandos cmd, actualización automática y mantenimiento de la persistencia.
NSFOCUS Research Labs observó que DarkCasino implementaba dos procesos de ataque utilizando archivos armados especialmente diseñados. La principal diferencia entre los dos procesos es la forma de almacenamiento del troyano.
Se ha observado que varios grupos de APT explotan la vulnerabilidad CVE-2023-38831, incluidos Dark Pink, APT28, APT29, Sandworm, APT40, Ghostwriter y Konni.
NSFOCUS Research Labs también ha capturado archivos de explotación de vulnerabilidades generados por lotes. Este fenómeno indica que los grandes controladores de ataques de phishing también han incorporado esta vulnerabilidad en sus procesos de ataque de phishing, lo que presagia más víctimas de explotación de vulnerabilidades de WinRAR en el futuro.
RarLab emitió un parche beta para el problema el 20 de julio y una versión actualizada de WinRAR (versión 6.23) el 2 de agosto.
Fuente: SecurityAffairs