Мошенническая схема с использованием Obsidian
Недавняя мошенническая схема использует приложение для заметок Obsidian для развертывания скрытого вредоносного ПО, нацеленного на профессионалов в области криптовалют и финансов. Elastic Security Labs опубликовали отчет, в котором подробно описывается, как злоумышленники применяют сложные методы социального инжиниринга через LinkedIn и Telegram, чтобы обойти традиционные меры безопасности, скрывая вредоносный код в разработанных сообществом плагинах.
Целевая аудитория и последствия
Кампания специально нацелена на людей в сфере цифровых активов, учитывая постоянный характер транзакций в блокчейне. Эта угроза особенно актуальна, поскольку в 2025 году компрометация кошельков привела к потере 713 миллионов долларов, согласно данным Chainalysis.
Процесс мошенничества
Процесс начинается с того, что мошенники выдают себя за представителей венчурного капитала в LinkedIn, чтобы установить профессиональный контакт. Эти беседы затем переходят в Telegram, где злоумышленники обсуждают решения по ликвидности криптовалюты, создавая правдоподобный бизнес-контекст. После установления доверия жертвы приглашаются получить доступ к тому, что описывается как база данных компании или панель управления, размещенная в общем облачном хранилище Obsidian. Открытие этого хранилища становится первоначальным вектором доступа.
Жертве предлагается включить синхронизацию плагинов сообщества, что запускает тихое выполнение троянского ПО. Хотя технические детали немного различаются между Windows и macOS, оба пути приводят к установке ранее неизвестного троянца удаленного доступа (RAT) под названием PHANTOMPULSE. Это вредоносное ПО предназначено для предоставления злоумышленникам полного контроля над зараженным устройством, сохраняя при этом низкий профиль, чтобы избежать обнаружения.
Технические детали PHANTOMPULSE
PHANTOMPULSE поддерживает связь с злоумышленниками через децентрализованную систему командования и управления (C2), охватывающую три различных блокчейн-сети. Используя данные транзакций в блокчейне, связанные с конкретными кошельками, вредоносное ПО может получать инструкции без центрального сервера.
«Поскольку транзакции в блокчейне неизменяемы и общедоступны, вредоносное ПО всегда может находить свой C2, не полагаясь на централизованную инфраструктуру», — отметила Elastic.
Использование нескольких цепочек обеспечивает устойчивость атаки, даже если один блокчейн-эксплорер будет ограничен. Этот метод позволяет операторам бесшовно менять свою инфраструктуру, что затрудняет защитникам разорвать связь между вредоносным ПО и его источником. Elastic предупредила, что, злоупотребляя предполагаемой функциональностью Obsidian, хакеры смогли «полностью обойти традиционные меры безопасности». Компания рекомендует организациям, работающим в высокорисковых финансовых секторах, внедрить строгие политики на уровне приложений для плагинов, чтобы предотвратить использование легитимных инструментов производительности в качестве точек входа для кражи.
