新たなソーシャルエンジニアリング手法
最近、Obsidianノートアプリを利用した新たなソーシャルエンジニアリング手法が、暗号通貨や金融の専門家を狙ったステルスマルウェアを展開しています。Elastic Security Labsは火曜日に、攻撃者が「LinkedInやTelegramでの巧妙なソーシャルエンジニアリング」を利用し、コミュニティ開発のプラグイン内に悪意のあるコードを隠すことで従来のセキュリティを回避する手法を詳述した報告書を発表しました。
攻撃の手法と影響
このキャンペーンは特にデジタル資産分野の個人をターゲットにしており、ブロックチェーン取引の永続的な性質を利用しています。Chainalysisのデータによると、2025年にはウォレットの侵害が713百万ドルの盗難資金を占めたことから、この脆弱性は特に深刻です。
「ブロックチェーン取引は不変で公開されているため、マルウェアは中央集権的なインフラに依存せずに常にそのC2を見つけることができます」とElasticは指摘しました。
侵入は、詐欺師がLinkedInでベンチャーキャピタルの代表を装ってプロフェッショナルネットワーキングを開始することから始まります。これらの会話は最終的にTelegramに移行し、攻撃者は暗号通貨の流動性ソリューションについて話し合い、「信頼できるビジネスコンテキスト」を構築します。信頼が確立されると、ターゲットは共有されたObsidianクラウドボールトにホストされた会社のデータベースまたはダッシュボードにアクセスするよう招待されます。
マルウェアの実行と影響
ボールトを開くことが初期アクセスベクトルとなります。被害者はコミュニティプラグインの同期を有効にするよう指示され、これがトロイの木馬化されたソフトウェアの静かな実行を引き起こします。技術的な実行はWindowsとmacOSで若干異なりますが、どちらの経路もPHANTOMPULSEという名前の未知のリモートアクセス型トロイの木馬(RAT)のインストールにつながります。
このマルウェアは、感染したデバイスに対する攻撃者の完全な制御を許可し、検出を避けるために低いプロファイルを維持するように設計されています。PHANTOMPULSEは、3つの異なるブロックチェーンネットワークにまたがる分散型コマンド・アンド・コントロール(C2)システムを通じて攻撃者との接続を維持します。
セキュリティ対策の提案
Elasticは、Obsidianの意図された機能を悪用することで、ハッカーが「従来のセキュリティコントロールを完全に回避することに成功した」と警告しました。同社は、高リスクの金融セクターで運営される組織が、盗難の入り口として正当な生産性ツールが再利用されるのを防ぐために、プラグインに対して厳格なアプリケーションレベルのポリシーを実施することを提案しています。
