Пользователей криптовалют предупредили о новой схеме социальной инженерии, которая обманом заставляет жертв использовать общедоступные плагины в приложении для создания заметок Obsidian, чтобы невольно запустить вредоносное ПО, которое может взять под контроль их устройства.
Elastic Security Labs сообщила во вторник в своем отчете, что обнаружила новую кампанию, нацеленную на пользователей в сфере криптовалют и финансов, использующую «сложную социальную инженерию в LinkedIn и Telegram», чтобы обманом заставить жертв разрешить запуск вредоносного, но кажущегося безопасным, программного обеспечения на своих устройствах.
Злоумышленники используют экосистему общедоступных плагинов в Obsidian для «тихого выполнения кода при открытии жертвой общего облачного хранилища», при этом атаки работают как на устройствах Windows, так и на macOS.
Это последняя известная кампания, нацеленная на пользователей криптовалют, популярную цель для мошенников, поскольку транзакции в блокчейне нельзя отменить. В 2025 году, по данным Chainalysis, через взлом индивидуальных криптокошельков было украдено 713 миллионов долларов.
Elastic заявила, что мошенники связываются с жертвами в LinkedIn под видом венчурной фирмы и в конечном итоге направляют разговор в Telegram в обсуждениях, касающихся «финансовых услуг, в частности решений для обеспечения ликвидности криптовалют, создавая правдоподобный деловой контекст».
Злоумышленники просят свою цель использовать Obsidian, представляя его как базу данных их фальшивой компании для доступа к общему информационному стенду, и потенциальной жертве предоставляется вход для подключения к облачному хранилищу, контролируемому злоумышленниками.
«Это хранилище является первоначальным вектором атаки», — заявила Elastic. «После его открытия в Obsidian жертве предлагается включить синхронизацию общедоступных плагинов. После этого троянизированные плагины бесшумно выполняют цепочку атаки».
Источник: Elastic Security Labs
Атаки немного отличаются на Windows и macOS, но обе используют ранее не задокументированную программу удаленного доступа или RAT, которую Elastic назвала «PHANTOMPULSE».
Вредоносное ПО, замаскированное под легитимное программное обеспечение, дает злоумышленникам контроль над устройством жертвы, при этом Elastic добавляет, что оно «разработано для скрытности, устойчивости и всестороннего удаленного доступа».
Elastic заявила, что PHANTOMPULSE использует децентрализованный механизм управления и контроля через как минимум три различные сети блокчейн, используя данные транзакций в блокчейне, связанные с определенным кошельком, для связи с атакующим и получения инструкций.
«Эта техника обеспечивает оператора возможностью ротации инфраструктуры, независимой от инфраструктуры», — заявила Elastic. «Поскольку транзакции в блокчейне неизменяемы и общедоступны, вредоносное ПО всегда может найти свой C2 [механизм управления и контроля], не полагаясь на централизованную инфраструктуру».
«Использование трех независимых цепочек добавляет избыточность: даже если исследователь одной из цепочек заблокирован или недоступен, оставшиеся две обеспечивают альтернативные пути разрешения», — добавила она.
Elastic заявила, что смогла заблокировать атаку, но она показывает, что злоумышленники «продолжают находить творческие первоначальные векторы атаки», поскольку использование экосистемы общедоступных плагинов Obsidian позволило им обойти «традиционные средства защиты», полагаясь на предполагаемую функциональность приложения для выполнения произвольного кода.
Она добавила, что финансовым и криптовалютным компаниям «следует знать, что легитимные инструменты повышения производительности могут быть превращены в векторы атаки», и организации должны применять политики плагинов на уровне приложений для защиты от аналогичных атак.
