Elastic Security Labs раскрыла атаку на криптовладельцев через Obsidian

Главное:

• Эксперты Elastic Security Labs выявили новую кампанию социальной инженерии, нацеленную на финансовый и криптовалютный секторы.
• Злоумышленники используют приложение Obsidian и его плагины для скрытого запуска вредоносного кода и получения доступа к устройствам жертв.
• В ходе атаки применяется ранее неизвестный троян PHANTOMPULSE, однако систему удалось обнаружить и заблокировать на ранней стадии.

Эксперты Elastic Security Labs обнаружили новую кампанию социальной инженерии под кодовым названием REF6598. Злоумышленники используют популярное приложение для заметок Obsidian как инструмент для первоначального доступа к устройствам жертв. Основными целями стали специалисты из финансового и криптовалютного секторов.

Атака начинается с контакта в LinkedIn и продолжается в Telegram. Преступники выдают себя за представителей венчурной компании и обсуждают темы, связанные с финансовыми услугами и криптовалютной ликвидностью. Такой подход помогает создать доверие и убедить жертву в подлинности общения.

Как работает схема атаки

Потенциальной жертве предлагают использовать Obsidian в качестве «управленческой базы данных» и предоставляют доступ к облачному хранилищу, контролируемому злоумышленниками. После подключения пользователя просят активировать плагины сообщества. Среди них — Shell Commands и Hider, которые запускают вредоносный код при открытии общего хранилища.

Elastic Defend выявил подозрительную активность на раннем этапе и предотвратил атаку, не позволив злоумышленникам достичь своих целей.

MetaMask столкнулся с новой фишинговой атакой через поддельную 2FA

Злоумышленники маскируют фишинг под обязательную проверку безопасности и получают полный контроль над кошельками пользователей

Читать дальше

Цепочка заражения работает как на Windows, так и на macOS. В Windows используется промежуточный загрузчик с шифрованием AES-256-CBC, который загружает вредоносные файлы непосредственно в память и применяет методы защиты от анализа. Финальной стадией становится развертывание ранее неизвестного трояна удаленного доступа PHANTOMPULSE — многофункционального бэкдора с управлением через блокчейн и элементами искусственного интеллекта.

На macOS атака реализуется через обфусцированный дроппер на AppleScript с резервным каналом связи через Telegram.

Изначально специалисты заподозрили поддельную версию Obsidian, однако проверка цифровой подписи подтвердила подлинность приложения. Это указывает на использование легитимного программного обеспечения в качестве инструмента кибератаки.

Ранее мы рассказывали о том, как злоумышленники используют искусственный интеллект для осуществления мошенничества с криптовалютой.