แผนการหลอกลวงทางสังคมใหม่
แผนการหลอกลวงทางสังคมใหม่กำลังใช้ แอป Obsidian สำหรับการจดบันทึกเพื่อเผยแพร่มัลแวร์ที่มุ่งเป้าไปที่ผู้เชี่ยวชาญด้านสกุลเงินดิจิทัล โดย Elastic Security Labs ได้เผยแพร่รายงานเมื่อวันอังคารที่ผ่านมา ซึ่งรายละเอียดว่า ผู้โจมตีใช้ “การหลอกลวงทางสังคมที่ซับซ้อนบน LinkedIn และ Telegram” เพื่อหลีกเลี่ยงความปลอดภัยแบบดั้งเดิม โดยการซ่อนโค้ดที่เป็นอันตรายไว้ในปลั๊กอินที่พัฒนาขึ้นโดยชุมชน
เป้าหมายของแคมเปญ
แคมเปญนี้มุ่งเป้าไปที่บุคคลในพื้นที่สินทรัพย์ดิจิทัล โดยใช้ประโยชน์จากลักษณะถาวรของธุรกรรมบล็อกเชน ความเปราะบางนี้มีความรุนแรงโดยเฉพาะเมื่อพิจารณาว่าการโจมตีที่ทำให้กระเป๋าเงินถูกบุกรุกมีมูลค่า 713 ล้านดอลลาร์ ในเงินที่ถูกขโมยในปี 2025 ตามข้อมูลจาก Chainalysis
วิธีการโจมตี
การแทรกซึมเริ่มต้นด้วยการที่ผู้หลอกลวงแอบอ้างเป็นตัวแทนจากบริษัททุนร่วมลงทุนบน LinkedIn เพื่อเริ่มต้นการสร้างเครือข่ายทางวิชาชีพ การสนทนาเหล่านี้ในที่สุดก็เปลี่ยนไปที่ Telegram ซึ่งผู้โจมตีจะพูดคุยเกี่ยวกับโซลูชันสภาพคล่องของสกุลเงินดิจิทัลเพื่อสร้าง “บริบททางธุรกิจที่น่าเชื่อถือ”
เมื่อความไว้วางใจถูกสร้างขึ้น เป้าหมายจะถูกเชิญให้เข้าถึงสิ่งที่ถูกอธิบายว่าเป็นฐานข้อมูลหรือแดชบอร์ดของบริษัทที่โฮสต์อยู่ใน Obsidian cloud vault ที่แชร์กัน
การเปิด vault จะทำหน้าที่เป็นช่องทางการเข้าถึงเริ่มต้น ผู้เสียหายจะถูกชี้นำให้เปิดใช้งานการซิงโครไนซ์ปลั๊กอินของชุมชน ซึ่งจะกระตุ้นการทำงานของซอฟต์แวร์โทรจันแบบเงียบ ๆ
มัลแวร์ PHANTOMPULSE
การดำเนินการทางเทคนิคจะแตกต่างกันเล็กน้อยระหว่าง Windows และ macOS แต่ทั้งสองเส้นทางจะส่งผลให้มีการติดตั้งโทรจันเข้าถึงระยะไกล (RAT) ที่ไม่เคยมีมาก่อนชื่อ PHANTOMPULSE มัลแวร์นี้ถูกออกแบบมาเพื่อให้ผู้โจมตีควบคุมอุปกรณ์ที่ติดเชื้อได้อย่างเต็มที่ในขณะที่ยังคงรักษาโปรไฟล์ต่ำเพื่อหลีกเลี่ยงการตรวจจับ
PHANTOMPULSE รักษาการเชื่อมต่อกับผู้โจมตีผ่านระบบคำสั่งและควบคุมแบบกระจาย (C2) ที่ครอบคลุมเครือข่ายบล็อกเชนสามเครือข่าย โดยการใช้ข้อมูลธุรกรรมบนเชนที่เชื่อมโยงกับกระเป๋าเงินเฉพาะ มัลแวร์สามารถรับคำสั่งได้โดยไม่ต้องพึ่งพาเซิร์ฟเวอร์กลาง
Elastic กล่าว “เนื่องจากธุรกรรมบล็อกเชนไม่สามารถเปลี่ยนแปลงได้และเข้าถึงได้สาธารณะ มัลแวร์จึงสามารถค้นหาคำสั่ง C2 ได้เสมอโดยไม่ต้องพึ่งพาโครงสร้างพื้นฐานที่รวมศูนย์”
การป้องกัน
การใช้หลายเชนทำให้การโจมตีมีความยืดหยุ่นแม้ว่าจะมีการจำกัดการเข้าถึงบล็อกเชนหนึ่ง ๆ วิธีนี้ช่วยให้ผู้ดำเนินการสามารถหมุนเวียนโครงสร้างพื้นฐานของตนได้อย่างราบรื่น ทำให้ยากสำหรับผู้ป้องกันที่จะตัดการเชื่อมโยงระหว่างมัลแวร์และแหล่งที่มา
Elastic เตือนว่าการใช้ฟังก์ชันการทำงานที่ตั้งใจของ Obsidian ผู้แฮกเกอร์สามารถ “หลีกเลี่ยงการควบคุมความปลอดภัยแบบดั้งเดิมได้โดยสิ้นเชิง” บริษัทแนะนำว่าองค์กรที่ดำเนินงานในภาคการเงินที่มีความเสี่ยงสูงควรใช้มาตรการนโยบายระดับแอปพลิเคชันที่เข้มงวดสำหรับปลั๊กอินเพื่อป้องกันไม่ให้เครื่องมือการผลิตที่ถูกต้องตามกฎหมายถูกนำมาใช้เป็นจุดเริ่มต้นสำหรับการโจรกรรม
