Social Ingenjörskonst och Malware
Ett nytt socialt ingenjörsschema utnyttjar Obsidian-anteckningsappen för att distribuera stealthy malware som riktar sig mot kryptovaluta- och finansproffs. Elastic Security Labs publicerade en rapport på tisdagen som detaljerar hur angripare använder ”utvecklad social ingenjörskonst på LinkedIn och Telegram” för att kringgå traditionell säkerhet genom att dölja skadlig kod inom gemenskapsutvecklade plugins.
Riktade Angrepp
Kampanjen riktar sig specifikt mot individer inom det digitala tillgångsområdet och utnyttjar den permanenta naturen av blockchain-transaktioner. Denna sårbarhet är särskilt akut med tanke på att plånboksintrång stod för 713 miljoner dollar i stulna medel under 2025, enligt Chainalysis-data.
Infiltreringsmetod
Infiltreringen börjar med att bedragare utger sig för att vara riskkapitalrepresentanter på LinkedIn för att initiera professionellt nätverkande. Dessa samtal övergår så småningom till Telegram, där angriparna diskuterar kryptovaluta likviditetslösningar för att bygga en ”plausibel affärskontext”.
Åtkomst och Malware
När förtroendet har etablerats, bjuds målen in att få tillgång till vad som beskrivs som en företagsdatabas eller instrumentpanel som är värd på en delad Obsidian-molnvalv. Att öppna valvet fungerar som den initiala åtkomstvektorn. Offret dirigeras att aktivera synkronisering av gemenskapsplugins, vilket utlöser tyst exekvering av trojaniserad programvara.
PHANTOMPULSE
Även om den tekniska exekveringen varierar något mellan Windows och macOS, resulterar båda vägarna i installationen av en tidigare okänd fjärråtkomsttrojan (RAT) som heter PHANTOMPULSE. Denna malware är utformad för att ge angriparna full kontroll över den infekterade enheten samtidigt som den upprätthåller en låg profil för att undvika upptäckte.
Decentraliserad Kontroll
PHANTOMPULSE upprätthåller sin anslutning till angriparna genom ett decentraliserat kommando- och kontrollsystem (C2) som sträcker sig över tre olika blockchain-nätverk. Genom att använda on-chain transaktionsdata kopplad till specifika plånböcker kan malware ta emot instruktioner utan en central server.
”Eftersom blockchain-transaktioner är oföränderliga och offentligt tillgängliga kan malware alltid lokalisera sin C2 utan att förlita sig på centraliserad infrastruktur,”
noterade Elastic.
Risker och Rekommendationer
Användningen av flera kedjor säkerställer att attacken förblir motståndskraftig även om en blockchain-explorer begränsas. Denna metod gör det möjligt för operatörerna att rotera sin infrastruktur sömlöst, vilket gör det svårt för försvarare att bryta länken mellan malware och dess källa. Elastic varnade för att genom att missbruka Obsidian’s avsedda funktionalitet lyckades hackarna ”skydda sig helt från traditionella säkerhetskontroller.”
Företaget föreslår att organisationer som verkar inom hög-risk finansiella sektorer bör implementera strikta applikationsnivåpolicyer för plugins för att förhindra att legitima produktivitetsverktyg omvandlas till ingångspunkter för stöld.
