Elastic Security Labs发现,针对加密货币和金融专业人士的社会工程活动正在利用笔记应用Obsidian部署能够完全控制受害者设备的恶意软件。该公司于周二发布了一份报告。
攻击者冒充风险投资公司的代表,在LinkedIn上主动联系目标。他们将话题引导到Telegram,围绕金融服务和加密货币流动性解决方案展开讨论,以建立一个合理的商业环境。
随后,受害者被要求使用Obsidian,攻击者将其描述为公司内部数据库,用于访问共享仪表盘。需要登录以连接由攻击者控制的云托管保险库。
一旦目标在 Obsidian 中打开保险库并启用社区插件,木马化插件会悄无声息地对设备执行攻击链。Elastic将该保险库描述为“初始访问向量”,并表示该攻击适用于Windows和macOS系统。
这两个变体都部署了Elastic命名为PHANTOMPULSE的此前未公开的远程访问木马。该恶意软件伪装成合法软件,赋予攻击者对被感染设备进行全面远程控制,据Elastic介绍,该设备注重隐蔽性和韧性。
PHANTOMPULSE采用去中心化的命令控制机制,运行于至少三个独立的区块链网络,读取与特定钱包绑定的链上交易数据,连接攻击者并接收指令。Elastic表示,这种方法为运营商提供了一种基础设施无关的配置,不依赖集中式服务器,并且使用三条独立链在一个网络无法访问时增加了冗余性。
Elastic表示,他们成功阻止了这次攻击,并指出,利用Obsidian社区插件生态系统的滥用,攻击者能够完全绕过传统安全控制,利用应用本身的预期功能。该公司表示,金融和加密公司应执行应用级插件政策,并将合法的生产力工具视为潜在的攻击途径。据Chainalysis称,2025年有7.13亿美元因个人加密钱包被盗。
