Nuevo Esquema de Ingeniería Social
Un nuevo esquema de ingeniería social está aprovechando la aplicación de toma de notas Obsidian para desplegar malware sigiloso dirigido a profesionales de criptomonedas y finanzas. Elastic Security Labs publicó un informe el martes detallando cómo los atacantes utilizan elaboradas técnicas de ingeniería social en LinkedIn y Telegram para eludir la seguridad tradicional, ocultando código malicioso dentro de complementos desarrollados por la comunidad.
Objetivo de la Campaña
La campaña se dirige específicamente a individuos en el espacio de activos digitales, capitalizando la naturaleza permanente de las transacciones en blockchain. Esta vulnerabilidad es particularmente aguda, dado que los compromisos de billetera representaron 713 millones de dólares en fondos robados durante 2025, según datos de Chainalysis.
Proceso de Infiltración
La infiltración comienza con estafadores que se hacen pasar por representantes de capital de riesgo en LinkedIn para iniciar redes profesionales. Estas conversaciones eventualmente se trasladan a Telegram, donde los atacantes discuten soluciones de liquidez de criptomonedas para construir un «contexto empresarial plausible». Una vez que se establece la confianza, las víctimas son invitadas a acceder a lo que se describe como una base de datos o panel de control de la empresa, alojado en un vault en la nube compartido de Obsidian.
Abrir el vault sirve como el vector de acceso inicial. La víctima es dirigida a habilitar la sincronización de complementos comunitarios, lo que desencadena la ejecución silenciosa de software trojanizado. Aunque la ejecución técnica varía ligeramente entre Windows y macOS, ambos caminos resultan en la instalación de un troyano de acceso remoto (RAT) previamente desconocido llamado PHANTOMPULSE. Este malware está diseñado para otorgar a los atacantes control total sobre el dispositivo infectado, mientras mantiene un perfil bajo para evitar la detección.
Funcionamiento del Malware
PHANTOMPULSE mantiene su conexión con los atacantes a través de un sistema descentralizado de comando y control (C2) que abarca tres redes blockchain diferentes. Al utilizar datos de transacciones en cadena vinculados a billeteras específicas, el malware puede recibir instrucciones sin un servidor central.
«Debido a que las transacciones en blockchain son inmutables y accesibles públicamente, el malware siempre puede localizar su C2 sin depender de infraestructura centralizada»
, señaló Elastic.
El uso de múltiples cadenas asegura que el ataque permanezca resistente incluso si un explorador de blockchain es restringido. Este método permite a los operadores rotar su infraestructura sin problemas, dificultando que los defensores corten el vínculo entre el malware y su fuente.
Recomendaciones de Seguridad
Elastic advirtió que, al abusar de la funcionalidad prevista de Obsidian, los hackers lograron «eludir completamente los controles de seguridad tradicionales». La firma sugiere que las organizaciones que operan en sectores financieros de alto riesgo deberían implementar políticas estrictas a nivel de aplicación para los complementos, a fin de evitar que herramientas de productividad legítimas sean reutilizadas como puntos de entrada para el robo.
