Пользователи криптовалюты были предупреждены о новом мошенничестве в области социальной инженерии, которое заставляет жертв использовать плагины сообщества в приложении для заметок Obsidian, чтобы по незнанию запускать вредоносное ПО, которое может взять под контроль их устройства.
В отчете Elastic Security Labs во вторник говорится, что они обнаружили новую кампанию, нацеленную на тех, кто занимается криптовалютой и финансами, с использованием «тщательной социальной инженерии в LinkedIn и Telegram», чтобы обманом заставить жертв позволить вредоносному, но, казалось бы, безопасному программному обеспечению запускаться на их устройствах.
Злоумышленники злоупотребляют экосистемой плагинов сообщества Obsidian, чтобы «тихо выполнять код, когда жертва открывает общее облачное хранилище», причем атаки работают как на устройствах Windows, так и на macOS.
Это последняя известная атаковая кампания, нацеленная на пользователей криптовалюты, которая является популярной мишенью для мошенников, поскольку транзакции блокчейна невозможно отменить. По данным Chainaанализа, в 2025 году в результате взлома отдельных криптовалютных кошельков было украдено 713 миллионов долларов.
В Elastic заявили, что мошенники связываются с жертвами в LinkedIn под видом венчурной фирмы и в конечном итоге переводят разговор в Telegram, обсуждая «финансовые услуги, в частности решения по обеспечению ликвидности в криптовалюте, создающие правдоподобный бизнес-контекст».
Злоумышленники просят свою цель использовать Obsidian, выдавая ее за поддельную базу данных своей компании для доступа к общей Dashboard, а потенциальной жертве предоставляется логин для подключения к облачному хранилищу, контролируемому злоумышленниками.
«Это хранилище является начальным вектором доступа», — сказал Elastic.”После открытия в Obsidian цель получает указание включить синхронизацию плагинов сообщества. После этого зараженные троянами плагины молча выполняют цепочку атак”.
Атаки на Windows и macOS немного отличаются, но обе используют ранее недокументированный троян удаленного доступа, или RAT, который Elastic назвал «PHANTOMPULSE».
Вредоносное ПО, замаскированное под легальное программное обеспечение, дает злоумышленникам контроль над устройством жертвы. В Elastic добавили, что оно «разработано для скрытности, устойчивости и комплексного удаленного доступа».
В Elastic заявили, что PHANTOMPULSE использует децентрализованный механизм управления и контроля через как минимум три различные сети блокчейн, используя данные транзакций внутри цепочки, привязанные к конкретному кошельку, для подключения к злоумышленнику и получения инструкций.
«Этот метод предоставляет оператору возможность ротации без учета инфраструктуры», — сказал Elastic. «Поскольку транзакции блокчейна неизменяемы и общедоступны, вредоносное ПО всегда может найти свой C2 [механизм управления и контроля], не полагаясь на централизованную инфраструктуру».
«Использование трех независимых цепочек добавляет избыточность: даже если обозреватель одной цепочки заблокирован или недоступен, оставшиеся две предоставляют альтернативные пути разрешения», — добавили в компании.
В Elastic заявили, что смогли заблокировать атаку, но это показывает, что злоумышленники «продолжают находить творческие первоначальные векторы доступа», поскольку злоупотребление экосистемой плагинов Obsidian, управляемой сообществом, позволило им «полностью обойти традиционные меры безопасности, полагаясь на предполагаемую функциональность приложения для выполнения произвольного кода».
В нем добавлено, что финансовые и криптовалютные компании «должны осознавать, что законные инструменты повышения производительности могут быть превращены в векторы атак», а организации должны применять политики плагинов на уровне приложений для защиты от подобных атак.
