Китайский «Болтливый Гоблин» нацелился на сотрудников технической поддержки

Словацкая компания ESET, специализирующаяся на кибербезопасности, обнаружила серию кибератак на игорные компании в Юго-Восточной Азии. Атаки начались ещё в октябре 2021 года и продолжаются до сих пор. Их организатором является неназванная хакерская группировка, связанная с Китаем.

Вредоносная операция получила название «ChattyGoblin», и в ней используется весьма специфическая тактика: хакеры взламывают популярные чат-приложения, которые используются сотрудниками службы поддержки игорных заведений. В частности, речь идёт о приложениях Comm100 и LiveHelp100.

Под взломом подразумевается внедрение в оригинальные установщики вышеупомянутых приложений вредоносного дроппера, написанного на C#, ведущего к скачиванию и активации полезной нагрузки второго этапа.

В результате этих атак киберпреступники получают доступ к рабочим станциям сотрудников и устанавливают на них Cobalt Strike — инструмент для удалённого управления заражёнными системами.

Данные атаки используют слабые места в системах безопасности компаний и социальную инженерию, чтобы проникнуть в сети своих жертв. Чтобы не пострадать от аналогичных вредоносных операций, стоит оперативно обновлять любое используемое в работе программное обеспечение, а также обучать персонал основам кибербезопасности и использовать надёжные антивирусные или EDR -решения.