Descubre Noticias de Ciberseguridad en nuestro TecnetBlog

DarkCasino: Descubriendo la Nueva Amenaza APT

Escrito por Gustavo Sánchez | Nov 29, 2023 3:00:00 PM

En el dinámico y a menudo peligroso mundo de la ciberseguridad, los expertos han descubierto recientemente una nueva amenaza emergente conocida como DarkCasino. Este malware, que ha empezado a afectar a usuarios y organizaciones a nivel global, plantea riesgos significativos debido a su sofisticada naturaleza y capacidad de evolución. En este artículo, exploraremos en detalle qué es DarkCasino, cómo funciona, y qué medidas pueden tomar individuos y empresas para protegerse de esta creciente amenaza.

 

¿Qué es DarkCasino?

 

 

Recientemente, un conjunto de hackers explotó una vulnerabilidad de seguridad recién descubierta en WinRAR, clasificándose ahora como una nueva y sofisticada Amenaza Persistente Avanzada (APT) denominada DarkCasino. Una compañía líder en ciberseguridad, identificó a DarkCasino como un grupo con motivaciones económicas, emergiendo por primera vez en 2021. "DarkCasino es un jugador APT altamente capaz y adaptable, experto en la incorporación de diversas técnicas de ataque APT en sus operaciones," indicó la empresa en su análisis.

 

Te podría interesar leer:  Ciberseguridad APT: Herramientas de Tracking Proactivas

 

El grupo APT DarkCasino ha sido notablemente activo, reflejando una intensa ambición por apoderarse de activos digitales. La conexión más reciente de DarkCasino involucra la explotación de la vulnerabilidad de día cero CVE-2023-38831 (puntuación CVSS: 7.8), una brecha de seguridad potencialmente explotable para desplegar malware.

En agosto de 2023, Group-IB reportó ataques reales utilizando esta vulnerabilidad, dirigidos a foros comerciales en línea desde abril de 2023 para distribuir DarkMe, un troyano de Visual Basic vinculado a DarkCasino. Este malware tiene capacidades para recoger datos del sistema infectado, capturar pantallas, manipular archivos y el Registro de Windows, ejecutar comandos y autoactualizarse.

Inicialmente, DarkCasino fue percibido como una campaña de phishing por Evilnum, enfocada en plataformas europeas y asiáticas de crédito, criptomonedas y juegos de azar en línea. Sin embargo, a través de un seguimiento continuo, se ha descartado cualquier vínculo con otros conocidos actores de amenazas.

La procedencia exacta de DarkCasino sigue siendo incierta. "Al principio, su actividad se centraba en países del Mediterráneo y Asia, utilizando servicios financieros en línea," informó la compañía de ciberseguridad. "Últimamente, con el cambio en sus tácticas de phishing, sus ataques se han extendido a usuarios de criptomonedas a nivel mundial, incluyendo países asiáticos no angloparlantes como Corea del Sur y Vietnam."

Otros grupos de amenazas, como APT28, APT29, APT40, Dark Pink, Ghostwriter, Konni y Sandworm, también han comenzado a explotar la vulnerabilidad CVE-2023-38831 en los últimos meses. Se ha observado que los ataques de Ghostwriter que explotan esta falla abren paso a PicassoLoader, un malware intermediario que sirve como lanzador para otras cargas.

"La vulnerabilidad WinRAR CVE-2023-38831 explotada por el grupo APT DarkCasino añade incertidumbre al panorama de ataques APT en la segunda mitad de 2023," concluyó NSFOCUS. "Varios grupos APT han utilizado esta ventana de vulnerabilidad para atacar objetivos críticos, como gobiernos, en un intento por burlar sus sistemas de protección y alcanzar sus objetivos."

 

Te podrá interesar leer:  Actividades APT 2023: Resumen Semestral

 

¿Qué impacto tiene DarkCasino y cómo protegerse?

 

DarkCasino es un grupo de amenazas APT que representa un grave riesgo para la seguridad de los usuarios de WinRAR, especialmente para los que usan criptomonedas u otros servicios financieros en línea. DarkCasino ha estado operando en países de todo el mundo, como los del Mediterráneo, Asia, Europa, América, etc.

DarkCasino ha aprovechado el período de ventana de la vulnerabilidad de WinRAR, que ha sido explotada por otros grupos de amenazas APT, como APT28, APT29, APT40, Dark Pink, Ghostwriter, Konni y Sandworm. Estos grupos han usado la vulnerabilidad de WinRAR para atacar objetivos críticos, como gobiernos, organizaciones, empresas o individuos, con fines políticos, militares, de espionaje o de sabotaje.

Para protegerse de DarkCasino y de otros grupos de amenazas APT que explotan la vulnerabilidad de WinRAR, se recomienda seguir las siguientes medidas de seguridad:

 

  1. Actualizar WinRAR a la última versión disponible, que no es vulnerable al ataque. 

  2. No abrir archivos de origen desconocido o sospechoso, especialmente si tienen formato ACE o RAR. Si se recibe un archivo comprimido por correo electrónico o por otro medio, se debe verificar su autenticidad y su contenido antes de extraerlo.

  3. Usar un antivirus actualizado y confiable, que pueda detectar y eliminar el malware que pueda infectar el ordenador. 

  4. Usar una cartera de criptomonedas segura y fiable, que proteja las claves privadas y las direcciones de las transacciones. 

  5. Verificar siempre las direcciones de las transacciones de criptomonedas, y no confiar en el portapapeles del ordenador. Se puede usar un escáner de códigos QR o una aplicación móvil para asegurarse de que la dirección es correcta.

  6. Usar contraseñas seguras y únicas para cada servicio o cuenta en línea, y no almacenarlas en los navegadores web. Se puede usar un gestor de contraseñas para generar y guardar las contraseñas de forma segura. 

 

Podría interesarte leer:  Discord: Epicentro de Malware y APTs

 

DarkCasino representa una amenaza cibernética emergente y compleja que requiere atención y acción inmediata por parte de individuos y organizaciones. Al entender cómo opera este malware y tomar medidas proactivas para protegerse, podemos reducir significativamente el riesgo de ser víctimas de sus ataques. La ciberseguridad es una responsabilidad compartida, y mantenerse informado es el primer paso hacia una defensa efectiva.