Bagong Scheme ng Social Engineering
Isang bagong scheme ng social engineering ang gumagamit ng Obsidian note-taking app upang mag-deploy ng stealthy malware na nagta-target sa mga propesyonal sa cryptocurrency at pananalapi. Naglabas ang Elastic Security Labs ng ulat noong Martes na naglalarawan kung paano ginagamit ng mga attacker ang “masalimuot na social engineering sa LinkedIn at Telegram” upang malampasan ang tradisyonal na seguridad sa pamamagitan ng pagtatago ng nakakapinsalang code sa loob ng mga community-developed plugins.
Target ng Kampanya
Ang kampanya ay partikular na nagta-target sa mga indibidwal sa digital asset space, na umaasa sa permanenteng kalikasan ng mga transaksyon sa blockchain. Ang kahinaan na ito ay lalong matindi dahil ang mga paglabag sa wallet ay nagkakahalaga ng $713 milyon sa mga ninakaw na pondo noong 2025, ayon sa datos ng Chainalysis.
Simula ng Pagsalakay
Ang pagsalakay ay nagsisimula sa mga scammer na nagpapanggap bilang mga kinatawan ng venture capital sa LinkedIn upang simulan ang propesyonal na networking. Ang mga pag-uusap na ito ay kalaunan ay lumilipat sa Telegram, kung saan tinatalakay ng mga attacker ang mga solusyon sa liquidity ng cryptocurrency upang bumuo ng “plausible business context.”
Pag-access sa Obsidian Vault
Kapag naitatag na ang tiwala, ang mga target ay inaanyayahan na ma-access ang tinutukoy na database ng kumpanya o dashboard na naka-host sa isang shared Obsidian cloud vault. Ang pagbubukas ng vault ay nagsisilbing unang access vector. Ang biktima ay tinuturoang i-enable ang community plugin synchronization, na nag-trigger ng tahimik na pagpapatakbo ng trojanized software.
PHANTOMPULSE Malware
Bagaman ang teknikal na pagpapatupad ay bahagyang nag-iiba sa pagitan ng Windows at macOS, ang parehong landas ay nagreresulta sa pag-install ng isang hindi pa kilalang remote access trojan (RAT) na tinatawag na PHANTOMPULSE. Ang malware na ito ay dinisenyo upang bigyan ang mga attacker ng buong kontrol sa nahawaang device habang pinapanatili ang mababang profile upang maiwasan ang pagtuklas.
Decentralized Command-and-Control System
Pinapanatili ng PHANTOMPULSE ang koneksyon nito sa mga attacker sa pamamagitan ng isang decentralized command-and-control (C2) system na sumasaklaw sa tatlong iba’t ibang blockchain networks. Sa pamamagitan ng paggamit ng on-chain transaction data na nakatali sa mga tiyak na wallet, ang malware ay maaaring tumanggap ng mga tagubilin nang walang sentral na server.
“Dahil ang mga transaksyon sa blockchain ay hindi mababago at pampublikong naa-access, ang malware ay palaging makakahanap ng C2 nito nang hindi umaasa sa sentralisadong imprastruktura,” sabi ng Elastic.
Pag-iwas sa Tradisyonal na Seguridad
Ang paggamit ng maraming chains ay tinitiyak na ang atake ay nananatiling matatag kahit na ang isang blockchain explorer ay pinigilan. Ang pamamaraang ito ay nagpapahintulot sa mga operator na i-rotate ang kanilang imprastruktura nang walang putol, na nagpapahirap para sa mga tagapagtanggol na putulin ang ugnayan sa pagitan ng malware at ng pinagmulan nito.
Nagbabala ang Elastic na sa pamamagitan ng pagsasamantala sa nakatakdang functionality ng Obsidian, nagawa ng mga hacker na “iwasan ang tradisyonal na mga kontrol sa seguridad nang buo.” Iminungkahi ng kumpanya na ang mga organisasyon na nag-ooperate sa mga high-risk financial sectors ay dapat magpatupad ng mahigpit na mga patakaran sa antas ng aplikasyon para sa mga plugins upang maiwasan ang mga lehitimong productivity tools na magamit bilang mga entry point para sa pagnanakaw.
