Предупреждение о криптомошенничестве: Хакеры эксплуатируют плагины Obsidian для развертывания скрытого вредоносного ПО

Кратко

• Хакеры злоупотребляют плагинами Obsidian для развертывания скрытого вредоносного ПО на устройствах
• Поддельные схемы венчурных фондов в LinkedIn подталкивают жертв к вредоносным плагинам Obsidian
• Вредоносное ПО PHANTOMPULSE распространяется через плагины Obsidian и облачные хранилища
• Пользователи криптовалют становятся мишенью через Telegram с использованием атаки плагинов Obsidian
• Новое мошенничество использует плагины Obsidian для обхода безопасности и кражи доступа

Пользователи криптовалют сталкиваются с растущей угрозой, поскольку злоумышленники используют плагины Obsidian для развертывания скрытого вредоносного ПО с помощью тактик социальной инженерии. Кампания нацелена на финансовых специалистов и распространяется через разговоры в LinkedIn и Telegram. Более того, злоупотребление плагинами Obsidian позволяет злоумышленникам обходить инструменты безопасности и выполнять скрытый код.

Кампания социальной инженерии использует плагины Obsidian как точку входа

Злоумышленники инициируют контакт через LinkedIn, выдавая себя за венчурные компании, нацеленные на криптоспециалистов. Затем они переводят разговоры в Telegram, где несколько поддельных партнеров создают правдоподобную деловую среду. Они убеждают цели получить доступ к общим панелям управления с использованием плагинов Obsidian.

Злоумышленники представляют Obsidian как легитимный инструмент базы данных для финансового сотрудничества. Они предоставляют учетные данные для доступа к облачному хранилищу, контролируемому вредоносными субъектами. Как только жертва открывает хранилище, злоумышленники отправляют инструкции по включению синхронизации плагинов Obsidian.

Этот шаг запускает цепочку выполнения, поскольку троянизированные плагины Obsidian незаметно запускают вредоносные скрипты. Атака использует встроенные функции плагинов для выполнения кода без вызова предупреждений. Злоумышленники эксплуатируют поведение доверенного программного обеспечения вместо использования традиционных методов доставки вредоносного ПО.

Вредоносное ПО PHANTOMPULSE расширяет кроссплатформенную угрозу

Исследователи безопасности из Elastic Security Labs выявили новый троян удаленного доступа под названием PHANTOMPULSE. Вредоносное ПО работает как в системах Windows, так и в macOS с отдельными путями выполнения. Оно использует плагины Obsidian в качестве начального вектора доступа для развертывания полезных нагрузок.

В Windows вредоносное ПО использует зашифрованные загрузчики и методы выполнения в памяти для избежания обнаружения. Оно полагается на шифрование AES-256 и рефлексивную загрузку для поддержания скрытности во время выполнения. Системы macOS получают обфусцированный дроппер AppleScript с резервной системой команд.

PHANTOMPULSE внедряет децентрализованную командную систему, которая использует блокчейн-транзакции для связи. Она извлекает инструкции из данных on-chain, связанных с кошельками, в нескольких сетях. В результате вредоносное ПО избегает зависимости от централизованных серверов и поддерживает устойчивость даже при сбоях.

Растущие криптоугрозы выявляют слабость в доверенных инструментах

Криптоплатформы остаются привлекательными целями из-за необратимых блокчейн-транзакций и высокоценных кошельков. В 2025 году злоумышленники украли более 713 миллионов $ из индивидуальных кошельков, подчеркивая растущие риски. Плагины Obsidian предоставляют злоумышленникам новый метод обхода стандартных защит.

Кампания показывает, как легитимные инструменты продуктивности могут стать векторами атак при неправильном использовании. Злоумышленники эксплуатируют экосистемы плагинов для запуска произвольного кода без срабатывания традиционных оповещений безопасности. Организации должны контролировать и ограничивать использование сторонних плагинов в критических средах.

Команды безопасности теперь рекомендуют применять строгие политики плагинов и ограничивать внешний доступ к хранилищам. Они также советуют проверять источники связи перед установкой или включением плагинов Obsidian. Осведомленность и контроль остаются ключевыми защитами от развивающихся угроз социальной инженерии.

Пост  Предупреждение о крипто-мошенничестве: хакеры используют плагины Obsidian для развертывания скрытого вредоносного ПО впервые появился на CoinCentral.