Kế hoạch lừa đảo mới nhắm vào chuyên gia tiền điện tử
Một kế hoạch lừa đảo mới đang lợi dụng ứng dụng ghi chú Obsidian để triển khai phần mềm độc hại nhắm vào các chuyên gia trong lĩnh vực tiền điện tử và tài chính. Elastic Security Labs đã phát hành một báo cáo vào thứ Ba, chi tiết cách mà những kẻ tấn công sử dụng “kỹ thuật xã hội tinh vi trên LinkedIn và Telegram” để vượt qua các biện pháp bảo mật truyền thống bằng cách ẩn mã độc bên trong các plugin do cộng đồng phát triển.
Chiến dịch tấn công và phương thức hoạt động
Chiến dịch này đặc biệt nhắm vào các cá nhân trong không gian tài sản kỹ thuật số, tận dụng tính chất vĩnh viễn của các giao dịch blockchain. Lỗ hổng này trở nên nghiêm trọng hơn khi các vụ xâm phạm ví đã chiếm tới 713 triệu đô la trong số tiền bị đánh cắp trong năm 2025, theo dữ liệu từ Chainalysis.
Sự xâm nhập bắt đầu với việc những kẻ lừa đảo giả mạo là đại diện của các quỹ đầu tư mạo hiểm trên LinkedIn để thiết lập kết nối chuyên nghiệp. Những cuộc trò chuyện này sau đó chuyển sang Telegram, nơi mà những kẻ tấn công thảo luận về các giải pháp thanh khoản tiền điện tử nhằm xây dựng một “bối cảnh kinh doanh hợp lý”. Khi lòng tin được thiết lập, các mục tiêu được mời truy cập vào cái mà được mô tả là cơ sở dữ liệu hoặc bảng điều khiển của công ty được lưu trữ trên một kho đám mây Obsidian chia sẻ. Việc mở kho này trở thành vector truy cập ban đầu. Nạn nhân được hướng dẫn kích hoạt đồng bộ hóa plugin cộng đồng, điều này kích hoạt việc thực thi âm thầm của phần mềm trojan.
Phần mềm độc hại PHANTOMPULSE
Mặc dù việc thực thi kỹ thuật có sự khác biệt nhỏ giữa Windows và macOS, cả hai con đường đều dẫn đến việc cài đặt một trojan truy cập từ xa (RAT) chưa từng được biết đến có tên là PHANTOMPULSE. Phần mềm độc hại này được thiết kế để cấp quyền kiểm soát hoàn toàn cho những kẻ tấn công đối với thiết bị bị nhiễm, trong khi vẫn duy trì một hồ sơ thấp để tránh bị phát hiện.
PHANTOMPULSE duy trì kết nối với những kẻ tấn công thông qua một hệ thống chỉ huy và kiểm soát (C2) phi tập trung trải dài trên ba mạng blockchain khác nhau. Bằng cách sử dụng dữ liệu giao dịch trên chuỗi liên quan đến các ví cụ thể, phần mềm độc hại có thể nhận hướng dẫn mà không cần một máy chủ trung tâm.
“Bởi vì các giao dịch blockchain là không thể thay đổi và có thể truy cập công khai, phần mềm độc hại luôn có thể xác định C2 của nó mà không cần dựa vào cơ sở hạ tầng tập trung,”
Elastic lưu ý. Việc sử dụng nhiều chuỗi đảm bảo rằng cuộc tấn công vẫn kiên cường ngay cả khi một trình khám phá blockchain bị hạn chế. Phương pháp này cho phép các nhà điều hành xoay vòng cơ sở hạ tầng của họ một cách liền mạch, khiến cho việc ngăn chặn liên kết giữa phần mềm độc hại và nguồn gốc của nó trở nên khó khăn cho các nhà phòng thủ.
Cảnh báo và khuyến nghị
Elastic cảnh báo rằng bằng cách lạm dụng chức năng dự kiến của Obsidian, những kẻ hacker đã thành công trong việc “tránh hoàn toàn các biện pháp kiểm soát bảo mật truyền thống.” Công ty đề xuất rằng các tổ chức hoạt động trong các lĩnh vực tài chính có rủi ro cao nên thực hiện các chính sách nghiêm ngặt ở cấp độ ứng dụng cho các plugin, nhằm ngăn chặn các công cụ năng suất hợp pháp bị tái sử dụng làm điểm vào cho việc trộm cắp.
