Einführung
Ein neues Social-Engineering-Schema nutzt die Obsidian-Notiz-App, um heimlich Malware zu verbreiten, die gezielt Fachleute im Bereich Kryptowährung und Finanzen anspricht. Elastic Security Labs veröffentlichte am Dienstag einen Bericht, der beschreibt, wie Angreifer „ausgeklügeltes Social Engineering auf LinkedIn und Telegram“ einsetzen, um traditionelle Sicherheitsmaßnahmen zu umgehen, indem sie bösartigen Code in von der Community entwickelten Plugins verstecken.
Zielgruppe und Angriffsmuster
Die Kampagne richtet sich speziell an Personen im Bereich digitaler Vermögenswerte und nutzt die permanente Natur von Blockchain-Transaktionen aus. Diese Verwundbarkeit ist besonders akut, da Wallet-Kompromittierungen laut Chainalysis-Daten im Jahr 2025 für 713 Millionen Dollar an gestohlenen Geldern verantwortlich waren.
Der Angriff beginnt mit Betrügern, die sich als Vertreter von Risikokapitalgesellschaften auf LinkedIn ausgeben, um berufliche Netzwerke zu initiieren. Diese Gespräche wechseln schließlich zu Telegram, wo die Angreifer über Lösungen zur Kryptowährungsliquidität diskutieren, um einen „plausiblen Geschäftskontext“ aufzubauen.
Der Angriff
Sobald Vertrauen aufgebaut ist, werden die Ziele eingeladen, auf eine als Unternehmensdatenbank oder Dashboard beschriebene Plattform zuzugreifen, die auf einem gemeinsamen Obsidian-Cloud-Speicher gehostet wird. Das Öffnen des Speichers dient als erster Zugangspunkt. Das Opfer wird aufgefordert, die Synchronisierung von Community-Plugins zu aktivieren, was die stille Ausführung von trojanisierter Software auslöst.
Während die technische Ausführung zwischen Windows und macOS leicht variiert, führen beide Wege zur Installation eines zuvor unbekannten Remote Access Trojan (RAT) namens PHANTOMPULSE. Diese Malware ist darauf ausgelegt, den Angreifern die vollständige Kontrolle über das infizierte Gerät zu gewähren, während sie ein niedriges Profil beibehält, um einer Entdeckung zu entgehen.
Technische Details
PHANTOMPULSE hält seine Verbindung zu den Angreifern über ein dezentrales Command-and-Control (C2)-System aufrecht, das sich über drei verschiedene Blockchain-Netzwerke erstreckt. Durch die Verwendung von On-Chain-Transaktionsdaten, die an spezifische Wallets gebunden sind, kann die Malware Anweisungen erhalten, ohne auf einen zentralen Server angewiesen zu sein.
„Da Blockchain-Transaktionen unveränderlich und öffentlich zugänglich sind, kann die Malware immer ihr C2 finden, ohne auf zentrale Infrastruktur angewiesen zu sein“, bemerkte Elastic.
Der Einsatz mehrerer Chains stellt sicher, dass der Angriff auch dann widerstandsfähig bleibt, wenn ein Blockchain-Explorer eingeschränkt wird. Diese Methode ermöglicht es den Betreibern, ihre Infrastruktur nahtlos zu rotieren, was es Verteidigern erschwert, die Verbindung zwischen der Malware und ihrer Quelle zu trennen.
Empfehlungen
Elastic warnte, dass die Hacker durch den Missbrauch der beabsichtigten Funktionalität von Obsidian es geschafft haben, „traditionelle Sicherheitskontrollen vollständig zu umgehen.“ Das Unternehmen empfiehlt, dass Organisationen, die in risikobehafteten Finanzsektoren tätig sind, strenge anwendungsbezogene Richtlinien für Plugins implementieren sollten, um zu verhindern, dass legitime Produktivitätswerkzeuge als Einstiegspunkte für Diebstahl missbraucht werden.
