0
0
Uma campanha que remonta a outubro de 2021 voltou sua atenção para as operações de jogos de azar do sudeste asiático com uma nova tática sorrateira: visando agentes de suporte ao cliente com chatbots.
Pesquisadores da ESET apelidaram a campanha de “ChattyGoblin” e a rastrearam até grupos de ameaças apoiados pela China. A ESET acrescentou que os agentes de ameaças dependem principalmente do Comm100 – que foi observado e documentado pela primeira vez pelo CrowdStrike – e dos aplicativos LiveHelp.
A ESET descreveu um ataque ChattyGoblin em particular em março passado que usou um chatbot para atingir uma empresa de jogos de azar nas Filipinas.
“Escrito em C#, o conta-gotas inicial implantado pelos invasores é chamado agentupdate_plugins.exe e foi baixado pelo aplicativo de bate-papo LiveHelp100”, observou a ESET. “O conta-gotas implanta um segundo executável C# baseado na ferramenta SharpUnhooker.”
A ferramenta SharpUnhooker então baixou o segundo estágio do ataque ChattyGoblin, armazenado em um arquivo ZIP protegido por senha, acrescentou a ESET.
“A carga útil final é um farol Cobalt Strike usando duckducklive [.] top como seu servidor C&C.”
FONTE: DARK READING