Skema Rekayasa Sosial Baru Menargetkan Profesional Cryptocurrency
Sebuah skema rekayasa sosial baru memanfaatkan aplikasi pencatatan Obsidian untuk menyebarkan malware tersembunyi yang menargetkan profesional di bidang cryptocurrency dan keuangan. Elastic Security Labs merilis laporan pada hari Selasa yang merinci bagaimana penyerang menggunakan “rekayasa sosial yang rumit di LinkedIn dan Telegram” untuk melewati langkah-langkah keamanan tradisional dengan menyembunyikan kode berbahaya dalam plugin yang dikembangkan oleh komunitas.
Kampanye Penyerangan dan Target
Kampanye ini secara khusus menargetkan individu di ruang aset digital, memanfaatkan sifat permanen dari transaksi blockchain. Kerentanan ini sangat mengkhawatirkan, mengingat bahwa kompromi dompet menyumbang $713 juta dalam dana yang dicuri selama tahun 2025, menurut data dari Chainalysis.
Metode Penyusupan
Penyusupan dimulai dengan penipu yang berpura-pura sebagai perwakilan modal ventura di LinkedIn untuk membangun jaringan profesional. Percakapan ini kemudian beralih ke Telegram, di mana para penyerang membahas solusi likuiditas cryptocurrency untuk menciptakan “konteks bisnis yang masuk akal.” Setelah kepercayaan terbangun, target diundang untuk mengakses apa yang dijelaskan sebagai database atau dasbor perusahaan yang dihosting di vault cloud Obsidian yang dibagikan. Membuka vault tersebut berfungsi sebagai vektor akses awal.
Korban diarahkan untuk mengaktifkan sinkronisasi plugin komunitas, yang memicu eksekusi diam-diam perangkat lunak trojan.
Malware PHANTOMPULSE
Meskipun eksekusi teknis sedikit bervariasi antara Windows dan macOS, kedua jalur tersebut menghasilkan instalasi trojan akses jarak jauh (RAT) yang sebelumnya tidak dikenal bernama PHANTOMPULSE. Malware ini dirancang untuk memberikan kontrol penuh kepada penyerang atas perangkat yang terinfeksi sambil mempertahankan profil rendah untuk menghindari deteksi.
PHANTOMPULSE mempertahankan koneksinya dengan penyerang melalui sistem perintah dan kontrol (C2) terdesentralisasi yang mencakup tiga jaringan blockchain yang berbeda. Dengan menggunakan data transaksi on-chain yang terikat pada dompet tertentu, malware dapat menerima instruksi tanpa bergantung pada server pusat.
“Karena transaksi blockchain tidak dapat diubah dan dapat diakses publik, malware selalu dapat menemukan C2-nya tanpa bergantung pada infrastruktur terpusat,”
catat Elastic.
Keamanan dan Saran
Penggunaan beberapa rantai memastikan serangan tetap tangguh bahkan jika satu penjelajah blockchain dibatasi. Metode ini memungkinkan operator untuk memutar infrastruktur mereka dengan mulus, sehingga sulit bagi pihak berwenang untuk memutuskan tautan antara malware dan sumbernya. Elastic memperingatkan bahwa dengan menyalahgunakan fungsi yang dimaksudkan dari Obsidian, para peretas berhasil “menghindari kontrol keamanan tradisional sepenuhnya.” Perusahaan menyarankan agar organisasi yang beroperasi di sektor keuangan berisiko tinggi harus menerapkan kebijakan ketat di tingkat aplikasi untuk plugin guna mencegah alat produktivitas yang sah digunakan kembali sebagai titik masuk untuk pencurian.
