darkcasino - RunkIntel

# DarkCasino > Tipo: **infostealer** · [MITRE ATT&CK](https://attack.mitre.org/software/) ## Descrição [[darkcasino|DarkCasino]] é um infostealer e RAT utilizado pelo grupo [[g0120-evilnum|EvilNum]], ator de ameaças focado principalmente em alvos do setor financeiro - específicamente plataformas de trading online, exchanges de criptomoedas e fintechs. Identificado em campanhas desde 2018 e documentado extensamente pela ESET em 2020, o [[darkcasino|DarkCasino]] é a ferramenta signature do grupo, projetada específicamente para roubar documentos de verificação de identidade (KYC), capturas de tela de plataformas financeiras, credenciais de trading e informações de carteiras de criptomoedas. O [[darkcasino|DarkCasino]] é distribuído via e-mails de spear-phishing para funcionários de empresas financeiras, especialmente traders e equipes de compliance, com documentos maliciosos que contêm imagens de documentos legítimos de KYC como isca. O malware implementa keylogging, captura de tela contínua, roubo de credenciais de navegadores e acesso a arquivos de sistema, construindo um perfil completo das atividades financeiras da vítima. A exfiltração ocorre via canal C2 proprietário com protocolo criptografado. O foco específico do [[g0120-evilnum|EvilNum]] em empresas de serviços financeiros online - ao invés de usuários individuais - demonstra sofisticação na seleção de alvos: comprometer um funcionário de uma plataforma de trading pode render acesso a informações sobre múltiplas contas de clientes simultaneamente. A técnica de usar documentos KYC como isca é especialmente eficaz pois corresponde à realidade operacional dos alvos, tornando os e-mails de phishing mais convincentes para profissionais do setor financeiro. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1555-003-credentials-from-web-browsers|T1555.003 - Credentials from Web Browsers]] - [[t1113-screen-capture|T1113 - Screen Capture]] - [[t1056-001-keylogging|T1056.001 - Keylogging]] - [[t1083-file-and-directory-discovery|T1083 - File and Directory Discovery]] - [[t1005-data-from-local-system|T1005 - Data from Local System]] - [[t1041-exfiltration-over-c2-channel|T1041 - Exfiltration Over C2 Channel]] - [[t1566-001-spearphishing-attachment|T1566.001 - Spearphishing Attachment]] - [[t1547-001-registry-run-keys-startup-folder|T1547.001 - Registry Run Keys / Startup Folder]] ## Grupos que Usam - [[g0120-evilnum|EvilNum]] ## Detecção - Monitorar acesso a credenciais salvas em navegadores por processos não relacionados a browsers ([[t1555-003-credentials-from-web-browsers|T1555.003]]) - Detectar captura de tela automatizada frequente por processos em segundo plano ([[t1113-screen-capture|T1113]]) - Alertar sobre e-mails com imagens de documentos de identidade (passaporte, CNH) como anexo para funcionários de compliance ([[t1566-001-spearphishing-attachment|T1566.001]]) - Implementar monitoramento de comportamento de teclado para detectar hooking de input ([[t1056-001-keylogging|T1056.001]]) - Verificar acessos a diretórios de plataformas de trading e arquivos de configuração financeiros ([[t1005-data-from-local-system|T1005]]) ## Relevância LATAM/Brasil O [[darkcasino|DarkCasino]] e o [[g0120-evilnum|EvilNum]] têm relevância elevada para o Brasil dada a expansão significativa do setor fintech e trading no país. Plataformas de investimento como XP, Rico, Easynvest e exchanges de criptomoedas nacionais operam com equipes de compliance que processam documentos KYC - perfil exato dos alvos do EvilNum. O crescimento do mercado de trading de varejo no Brasil, especialmente após a pandemia, criou um ecossistema de alvo ideal. Empresas de fintech brasileiras devem implementar treinamento específico de phishing para equipes de compliance e monitoramento de endpoints focado em atividades de captura de dados financeiros. ## Referências - [ESET - EvilNum/DarkCasino Analysis](https://www.welivesecurity.com/2020/07/09/more-evil-deep-look-evilnum-toolset/) - [MITRE ATT&CK - EvilNum](https://attack.mitre.org/groups/G0120)