Ingénierie Sociale et Malware Ciblant les Professionnels de la Cryptomonnaie
Un nouveau schéma d’ingénierie sociale exploite l’application de prise de notes Obsidian pour déployer un malware furtif visant les professionnels de la cryptomonnaie et de la finance. Elastic Security Labs a publié un rapport mardi détaillant comment les attaquants utilisent une ingénierie sociale élaborée sur LinkedIn et Telegram pour contourner la sécurité traditionnelle en cachant du code malveillant dans des plugins développés par la communauté.
Cible et Méthodologie des Attaques
Cette campagne cible spécifiquement les individus dans le domaine des actifs numériques, capitalisant sur la nature permanente des transactions blockchain. Cette vulnérabilité est particulièrement préoccupante, étant donné que les compromissions de portefeuilles ont représenté 713 millions de dollars de fonds volés en 2025, selon les données de Chainalysis.
L’infiltration commence par des escrocs se faisant passer pour des représentants de capital-risque sur LinkedIn afin d’initier un réseau professionnel. Ces conversations finissent par se déplacer sur Telegram, où les attaquants discutent de solutions de liquidité en cryptomonnaie pour établir un « contexte commercial plausible ». Une fois la confiance établie, les cibles sont invitées à accéder à ce qui est décrit comme une base de données ou un tableau de bord d’entreprise hébergé sur un coffre-fort cloud partagé Obsidian. Ouvrir le coffre-fort sert de vecteur d’accès initial.
Exécution du Malware PHANTOMPULSE
La victime est alors dirigée pour activer la synchronisation des plugins communautaires, ce qui déclenche l’exécution silencieuse d’un logiciel trojanisé. Bien que l’exécution technique varie légèrement entre Windows et macOS, les deux chemins aboutissent à l’installation d’un cheval de Troie d’accès à distance (RAT) auparavant inconnu, nommé PHANTOMPULSE. Ce malware est conçu pour accorder aux attaquants un contrôle total sur l’appareil infecté tout en maintenant un profil bas pour éviter la détection.
PHANTOMPULSE maintient sa connexion avec les attaquants via un système de commande et de contrôle (C2) décentralisé qui s’étend sur trois réseaux blockchain différents. En utilisant des données de transaction on-chain liées à des portefeuilles spécifiques, le malware peut recevoir des instructions sans dépendre d’une infrastructure centralisée.
« Parce que les transactions blockchain sont immuables et accessibles au public, le malware peut toujours localiser son C2 sans dépendre d’une infrastructure centralisée, »
a noté Elastic.
Résilience et Recommandations
L’utilisation de plusieurs chaînes garantit que l’attaque reste résiliente même si un explorateur blockchain est restreint. Cette méthode permet aux opérateurs de faire tourner leur infrastructure sans heurts, rendant difficile pour les défenseurs de couper le lien entre le malware et sa source. Elastic a averti qu’en abusant de la fonctionnalité prévue d’Obsidian, les hackers ont réussi à contourner entièrement les contrôles de sécurité traditionnels. La société suggère que les organisations opérant dans des secteurs financiers à haut risque devraient mettre en œuvre des politiques strictes au niveau des applications pour les plugins afin d’empêcher que des outils de productivité légitimes ne soient réutilisés comme points d’entrée pour le vol.
