Нова схема соціальної інженерії використовує додаток для нотаток Obsidian для розгортання прихованого шкідливого програмного забезпечення, спрямованого на професіоналів у галузі криптовалют і фінансів.

Резюме

• Мошенники використовують LinkedIn і Telegram для обману крипто-фахівців з метою завантаження шкідливих плагінів Obsidian, які розгортають троян віддаленого доступу.
• Elastic Security Labs виявила, що неофіційне шкідливе програмне забезпечення PHANTOMPULSE використовує три різні блокчейн-мережі для отримання команд і підтримки стійкості.
• Дослідники безпеки рекомендують фінансовим компаніям впроваджувати суворі політики щодо плагінів на рівні додатків, щоб запобігти експлуатації легітимних інструментів для підвищення продуктивності.

Elastic Security Labs опублікувала у вівторок звіт, у якому детально описано, як зловмисники використовують «складну соціальну інженерію в LinkedIn і Telegram» для обходу традиційних заходів безпеки, приховуючи шкідливий код у плагінах, розроблених спільнотою.

Ця кампанія спеціально націлена на осіб у сфері цифрових активів, використовуючи постійний характер транзакцій у блокчейні. Ця вразливість особливо гостра, враховуючи, що за даними Chainalysis, у 2025 році викрадено коштів на суму $713 мільйонів через компрометацію гаманців.

Проникнення починається з того, що шахраї видають себе за представників венчурного капіталу у LinkedIn, щоб налагодити професійне спілкування. Ці розмови згодом переходять у Telegram, де зловмисники обговорюють рішення щодо ліквідності криптовалют для створення «правдоподібного бізнес-контексту».

Після встановлення довіри цільові особи запрошуються отримати доступ до так званої бази даних або панелі управління компанії, розміщеної на спільному хмарному сховищі Obsidian.

Децентралізований контроль через блокчейн

Відкриття сховища слугує першим каналом доступу. Жертву просять увімкнути синхронізацію плагінів спільноти, що запускає безшумне виконання троянського програмного забезпечення.

Хоча технічне виконання трохи відрізняється між Windows і macOS, обидва шляхи призводять до встановлення раніше невідомого трояна віддаленого доступу (RAT) під назвою PHANTOMPULSE.

Цей шкідливий код створений для надання зловмисникам повного контролю над інфікованим пристроєм, при цьому зберігаючи низький профіль для уникнення виявлення.

PHANTOMPULSE підтримує зв’язок із зловмисниками через децентралізовану систему команд і контролю (C2), яка охоплює три різні блокчейн-мережі.

Використовуючи дані транзакцій у мережі, прив’язані до конкретних гаманців, шкідливе програмне забезпечення може отримувати інструкції без центрального сервера.

«Оскільки транзакції у блокчейні є незмінними і публічно доступними, шкідливе програмне забезпечення завжди може знайти свій C2, не покладаючись на централізовану інфраструктуру», — зазначила Elastic.

Використання кількох ланцюгів забезпечує стійкість атаки навіть у разі обмеження одного з блокчейн-оглядачів. Цей метод дозволяє операторам безперешкодно змінювати свою інфраструктуру, ускладнюючи захисникам розірвати зв’язок між шкідливим програмним забезпеченням і його джерелом.

Elastic попередила, що, зловживаючи передбаченою функціональністю Obsidian, хакери змогли «повністю обійти традиційні засоби безпеки».

Компанія рекомендує організаціям, що працюють у високоризикових фінансових секторах, впроваджувати суворі політики щодо плагінів на рівні додатків, щоб запобігти використанню легітимних інструментів для підвищення продуктивності як точок входу для крадіжки.