Um novo esquema de engenharia social está a aproveitar o aplicativo de notas Obsidian para implementar malware furtivo direcionado a profissionais de criptomoedas e finanças.

Resumo

• Os golpistas estão a usar LinkedIn e Telegram para enganar profissionais de criptomoedas, levando-os a descarregar plugins maliciosos do Obsidian que implantam um cavalo de Troia de acesso remoto.
• O Elastic Security Labs descobriu que o malware não documentado PHANTOMPULSE usa três redes blockchain diferentes para receber comandos e manter a persistência.
• Os investigadores de segurança recomendam que as empresas financeiras implementem políticas estritas a nível de aplicação para plugins, a fim de evitar que ferramentas legítimas de produtividade sejam exploradas.

O Elastic Security Labs publicou na terça-feira um relatório detalhando como os atacantes usam “engenharia social elaborada no LinkedIn e Telegram” para contornar a segurança tradicional, escondendo código malicioso dentro de plugins desenvolvidos pela comunidade.

A campanha direciona-se especificamente a indivíduos no espaço de ativos digitais, aproveitando a natureza permanente das transações blockchain. Esta vulnerabilidade é particularmente aguda, dado que as compromissões de carteiras representaram $713 milhões em fundos roubados durante 2025, de acordo com dados da Chainalysis.

A infiltração começa com golpistas a se passarem por representantes de capital de risco no LinkedIn para iniciar networking profissional. Essas conversas eventualmente transitam para o Telegram, onde os atacantes discutem soluções de liquidez de criptomoedas para construir um “contexto de negócio plausível”.

Uma vez estabelecida a confiança, os alvos são convidados a aceder ao que é descrito como uma base de dados ou painel de controlo de uma empresa hospedada num cofre de nuvem Obsidian partilhado.

Controlo descentralizado via blockchain

Abrir o cofre serve como o vetor de acesso inicial. A vítima é direcionada a ativar a sincronização de plugins da comunidade, o que desencadeia a execução silenciosa de software trojanizado.

Embora a execução técnica varie ligeiramente entre Windows e macOS, ambos os caminhos resultam na instalação de um cavalo de Troia de acesso remoto anteriormente desconhecido (RAT) chamado PHANTOMPULSE.

Este malware foi concebido para conceder aos atacantes controlo total sobre o dispositivo infetado, mantendo um perfil discreto para evitar detecção.

O PHANTOMPULSE mantém a sua ligação aos atacantes através de um sistema descentralizado de comando e controlo (C2) que abrange três redes blockchain diferentes.

Ao usar dados de transação na cadeia ligados a carteiras específicas, o malware pode receber instruções sem um servidor central.

“Porque as transações blockchain são imutáveis e acessíveis ao público, o malware pode sempre localizar o seu C2 sem depender de infraestruturas centralizadas”, observou o Elastic.

O uso de múltiplas cadeias garante que o ataque permaneça resiliente mesmo que um explorador de blockchain seja restringido. Este método permite aos operadores rotacionar a sua infraestrutura de forma contínua, dificultando que os defensores cortem a ligação entre o malware e a sua origem.

O Elastic alertou que, ao abusar da funcionalidade pretendida do Obsidian, os hackers conseguiram “contornar completamente os controlos de segurança tradicionais”.

A empresa sugere que organizações que operam em setores financeiros de alto risco devem implementar políticas estritas a nível de aplicação para plugins, a fim de evitar que ferramentas legítimas de produtividade sejam reutilizadas como pontos de entrada para roubo.