Ny Social Engineering-Svindel Retter Sig Mod Kryptovaluta-Professionelle
Et nyt social engineering-svindel udnytter Obsidian-notes-appen til at deployere stealthy malware, der retter sig mod kryptovaluta- og finansprofessionelle. Elastic Security Labs offentliggjorde en rapport tirsdag, der detaljerer, hvordan angribere bruger udviklede social engineering-teknikker på LinkedIn og Telegram til at omgå traditionelle sikkerhedsforanstaltninger ved at skjule ondsindet kode i fællesskabsudviklede plugins.
Kampagnens Mål og Metoder
Kampagnen retter sig specifikt mod personer i det digitale aktivrum og udnytter den permanente karakter af blockchain-transaktioner. Denne sårbarhed er særligt akut, da kompromitteringer af tegnebøger stod for $713 millioner i stjålne midler i 2025, ifølge Chainalysis-data.
Infiltrationen begynder med svindlere, der udgiver sig for at være venturekapitalrepræsentanter på LinkedIn for at indlede professionelt netværk. Disse samtaler overgår til Telegram, hvor angriberne diskuterer kryptovaluta-likviditetsløsninger for at opbygge en plausibel forretningskontekst.
Adgangsvektor og Malware
Når tillid er etableret, bliver målene inviteret til at få adgang til det, der beskrives som en virksomhedsdatabase eller dashboard, der er hostet på et delt Obsidian-cloud vault. Åbning af vaulten fungerer som den indledende adgangsvektor. Offeret bliver bedt om at aktivere synkronisering af fællesskabsplugins, hvilket udløser den stille udførelse af trojaniseret software.
Selvom den tekniske udførelse varierer lidt mellem Windows og macOS, resulterer begge veje i installationen af en tidligere ukendt remote access trojan (RAT) ved navn PHANTOMPULSE. Denne malware er designet til at give angriberne fuld kontrol over den inficerede enhed, samtidig med at den opretholder en lav profil for at undgå opdagelse.
Decentraliseret Infrastruktur
PHANTOMPULSE opretholder sin forbindelse til angriberne gennem et decentraliseret command-and-control (C2) system, der spænder over tre forskellige blockchain-netværk. Ved at bruge on-chain transaktionsdata knyttet til specifikke tegnebøger kan malware modtage instruktioner uden en central server.
“Fordi blockchain-transaktioner er uforanderlige og offentligt tilgængelige, kan malware altid finde sin C2 uden at være afhængig af centraliseret infrastruktur,” bemærkede Elastic.
Brugen af flere kæder sikrer, at angrebet forbliver modstandsdygtigt, selvom en blockchain-udforsker er begrænset. Denne metode gør det muligt for operatørerne at rotere deres infrastruktur problemfrit, hvilket gør det vanskeligt for forsvarere at afbryde forbindelsen mellem malware og dens kilde.
Advarsler og Anbefalinger
Elastic advarede om, at ved at misbruge Obsidian’s tilsigtede funktionalitet, formåede hackerne at omgå traditionelle sikkerhedskontroller helt. Firmaet foreslår, at organisationer, der opererer i højrisiko finansielle sektorer, bør implementere strenge applikationsniveau-politikker for plugins for at forhindre legitime produktivitetsværktøjer i at blive genbrugt som indgangspunkter for tyveri.
