Ingegneria Sociale e Malware Furtivo
Un nuovo schema di ingegneria sociale sta sfruttando l’app di prendere appunti Obsidian per distribuire malware furtivo, prendendo di mira professionisti del settore delle criptovalute e della finanza. Elastic Security Labs ha pubblicato un rapporto martedì, nel quale si dettaglia come gli attaccanti utilizzino “elaborate ingegnerie sociali su LinkedIn e Telegram” per eludere la sicurezza tradizionale, nascondendo codice malevolo all’interno di plugin sviluppati dalla comunità.
Target e Metodologia degli Attaccanti
La campagna si concentra specificamente su individui nel settore degli asset digitali, capitalizzando sulla natura permanente delle transazioni blockchain. Questa vulnerabilità è particolarmente preoccupante, considerando che i compromessi dei wallet hanno comportato 713 milioni di dollari in fondi rubati nel 2025, secondo i dati di Chainalysis.
L’infiltrazione inizia con truffatori che si spacciano per rappresentanti di venture capital su LinkedIn, avviando un networking professionale. Queste conversazioni si spostano poi su Telegram, dove gli attaccanti discutono soluzioni di liquidità per criptovalute, creando un “contesto aziendale plausibile“.
Accesso e Installazione del Malware
Una volta stabilita la fiducia, le vittime vengono invitate ad accedere a quello che viene descritto come un database aziendale o un cruscotto ospitato su un vault cloud condiviso di Obsidian. L’apertura del vault funge da vettore di accesso iniziale. La vittima viene quindi indirizzata ad abilitare la sincronizzazione dei plugin della comunità, il che attiva l’esecuzione silenziosa di software trojanizzato.
Sebbene l’esecuzione tecnica vari leggermente tra Windows e macOS, entrambi i percorsi portano all’installazione di un trojan di accesso remoto (RAT) precedentemente sconosciuto, chiamato PHANTOMPULSE. Questo malware è progettato per concedere agli attaccanti il pieno controllo sul dispositivo infetto, mantenendo un profilo basso per evitare il rilevamento.
Funzionamento di PHANTOMPULSE
PHANTOMPULSE mantiene la sua connessione con gli attaccanti attraverso un sistema decentralizzato di comando e controllo (C2) che si estende su tre diverse reti blockchain. Utilizzando dati di transazione on-chain legati a wallet specifici, il malware può ricevere istruzioni senza un server centrale.
“Poiché le transazioni blockchain sono immutabili e pubblicamente accessibili, il malware può sempre localizzare il suo C2 senza fare affidamento su infrastrutture centralizzate,” ha osservato Elastic.
L’uso di più catene garantisce che l’attacco rimanga resiliente anche se un esploratore blockchain viene limitato. Questo metodo consente agli operatori di ruotare la loro infrastruttura senza problemi, rendendo difficile per i difensori interrompere il collegamento tra il malware e la sua fonte.
Raccomandazioni per la Sicurezza
Elastic ha avvertito che, abusando della funzionalità prevista di Obsidian, gli hacker sono riusciti a “eludere completamente i controlli di sicurezza tradizionali.” L’azienda suggerisce che le organizzazioni che operano in settori finanziari ad alto rischio dovrebbero implementare politiche rigorose a livello di applicazione per i plugin, al fine di prevenire che strumenti di produttività legittimi vengano riutilizzati come punti di accesso per il furto.
