Elastic Security Labs раскрыла атаку на криптовладельцев через Obsidian
Кампания нацелена на кражу данных и получение удаленного доступа к устройствам.
15.04.2026 - 10:55
319
4 мин
0
Главное:
- Эксперты Elastic Security Labs выявили новую кампанию социальной инженерии, нацеленную на финансовый и криптовалютный секторы.
- Злоумышленники используют приложение Obsidian и его плагины для скрытого запуска вредоносного кода и получения доступа к устройствам жертв.
- В ходе атаки применяется ранее неизвестный троян PHANTOMPULSE, однако систему удалось обнаружить и заблокировать на ранней стадии.
Эксперты Elastic Security Labs обнаружили новую кампанию социальной инженерии под кодовым названием REF6598. Злоумышленники используют популярное приложение для заметок Obsidian как инструмент для первоначального доступа к устройствам жертв. Основными целями стали специалисты из финансового и криптовалютного секторов.
Атака начинается с контакта в LinkedIn и продолжается в Telegram. Преступники выдают себя за представителей венчурной компании и обсуждают темы, связанные с финансовыми услугами и криптовалютной ликвидностью. Такой подход помогает создать доверие и убедить жертву в подлинности общения.
Как работает схема атаки
Потенциальной жертве предлагают использовать Obsidian в качестве «управленческой базы данных» и предоставляют доступ к облачному хранилищу, контролируемому злоумышленниками. После подключения пользователя просят активировать плагины сообщества. Среди них — Shell Commands и Hider, которые запускают вредоносный код при открытии общего хранилища.
Elastic Defend выявил подозрительную активность на раннем этапе и предотвратил атаку, не позволив злоумышленникам достичь своих целей.
MetaMask столкнулся с новой фишинговой атакой через поддельную 2FA
Злоумышленники маскируют фишинг под обязательную проверку безопасности и получают полный контроль над кошельками пользователей
Цепочка заражения работает как на Windows, так и на macOS. В Windows используется промежуточный загрузчик с шифрованием AES-256-CBC, который загружает вредоносные файлы непосредственно в память и применяет методы защиты от анализа. Финальной стадией становится развертывание ранее неизвестного трояна удаленного доступа PHANTOMPULSE — многофункционального бэкдора с управлением через блокчейн и элементами искусственного интеллекта.
На macOS атака реализуется через обфусцированный дроппер на AppleScript с резервным каналом связи через Telegram.
Изначально специалисты заподозрили поддельную версию Obsidian, однако проверка цифровой подписи подтвердила подлинность приложения. Это указывает на использование легитимного программного обеспечения в качестве инструмента кибератаки.
Ранее мы рассказывали о том, как злоумышленники используют искусственный интеллект для осуществления мошенничества с криптовалютой.
Полезный материал?
Происшествия
Разработчики предупредили о рисках для мостов и обратились к биржам за помощью.
22 июн. 2026 г.
Происшествия
Осужденный помогал переводить средства жертв инвестиционных афер и заработал на этом не менее $4 млн.
10 июн. 2026 г.
Происшествия
Компания связывает инцидент с компрометацией приватного ключа сервисного кошелька, а не со взломом смарт-контрактов.
22 мая 2026 г.
Происшествия
После инцидента проект временно остановил торговые операции и работу узлов.
15 мая 2026 г.
Происшествия
Пользователь безуспешно подбирал пароль несколько недель, пока ИИ не помог найти старую резервную копию кошелька
14 мая 2026 г.
Крипторегулирование
Власти вводят обязательную регистрацию для компаний, работающих с трансграничными криптопереводами
8 мая 2026 г.