Skema rekayasa sosial baru memanfaatkan aplikasi pencatat catatan Obsidian untuk menyebarkan malware tersembunyi yang menargetkan profesional cryptocurrency dan keuangan.

Ringkasan

• Penipu menggunakan LinkedIn dan Telegram untuk menipu profesional crypto agar mengunduh plugin Obsidian berbahaya yang menyebarkan trojan akses jarak jauh.
• Elastic Security Labs menemukan bahwa malware PHANTOMPULSE yang tidak terdokumentasi menggunakan tiga jaringan blockchain berbeda untuk menerima perintah dan mempertahankan keberlangsungan.
• Peneliti keamanan merekomendasikan agar perusahaan keuangan menerapkan kebijakan plugin tingkat aplikasi yang ketat untuk mencegah alat produktivitas yang sah dieksploitasi.

Elastic Security Labs merilis laporan Selasa yang merinci bagaimana penyerang menggunakan “rekayasa sosial yang rumit di LinkedIn dan Telegram” untuk melewati keamanan tradisional dengan menyembunyikan kode berbahaya dalam plugin yang dikembangkan komunitas

Kampanye ini secara khusus menargetkan individu di ruang aset digital, memanfaatkan sifat permanen dari transaksi blockchain. Kerentanan ini sangat akut mengingat bahwa kompromi dompet mencapai $713 juta dana yang dicuri selama 2025, menurut data Chainalysis.

Infiltrasi dimulai dengan penipu yang menyamar sebagai perwakilan modal ventura di LinkedIn untuk memulai jejaring profesional. Percakapan ini akhirnya beralih ke Telegram, di mana para penyerang membahas solusi likuiditas cryptocurrency untuk membangun “konteks bisnis yang masuk akal.”

Setelah kepercayaan terbangun, target diundang untuk mengakses apa yang digambarkan sebagai basis data perusahaan atau dashboard yang dihosting di vault cloud Obsidian bersama.

Kontrol terdesentralisasi melalui blockchain

Membuka vault berfungsi sebagai vektor akses awal. Korban diarahkan untuk mengaktifkan sinkronisasi plugin komunitas, yang memicu eksekusi diam-diam perangkat lunak berbahaya

Meskipun eksekusi teknis sedikit berbeda antara Windows dan macOS, kedua jalur menghasilkan instalasi trojan akses jarak jauh yang sebelumnya tidak dikenal (RAT) bernama PHANTOMPULSE

Malware ini dirancang untuk memberi penyerang kendali penuh atas perangkat yang terinfeksi sambil menjaga profil rendah agar tidak terdeteksi.

PHANTOMPULSE mempertahankan koneksinya ke penyerang melalui sistem perintah dan kontrol (C2) yang terdesentralisasi yang meliputi tiga jaringan blockchain berbeda

Dengan menggunakan data transaksi on-chain yang terkait dengan dompet tertentu, malware dapat menerima instruksi tanpa server pusat

“Karena transaksi blockchain tidak dapat diubah dan dapat diakses secara publik, malware selalu dapat menemukan C2-nya tanpa bergantung pada infrastruktur terpusat,” catat Elastic.

Penggunaan beberapa rantai memastikan serangan tetap tangguh bahkan jika satu penjelajah blockchain dibatasi. Metode ini memungkinkan operator untuk memutar infrastruktur mereka secara mulus, menyulitkan pertahanan untuk memutus hubungan antara malware dan sumbernya

Elastic memperingatkan bahwa dengan menyalahgunakan fungsi yang dimaksudkan Obsidian, para peretas berhasil “mengelak dari kontrol keamanan tradisional sepenuhnya.”

Perusahaan menyarankan agar organisasi yang beroperasi di sektor keuangan berisiko tinggi menerapkan kebijakan tingkat aplikasi yang ketat untuk plugin guna mencegah alat produktivitas yang sah digunakan kembali sebagai titik masuk pencurian.