แจ้งเตือนการหลอกลวงคริปโต: แฮกเกอร์แสวงหาประโยชน์จากปลั๊กอิน Obsidian เพื่อติดตั้งมัลแวร์แบบลับๆ

TLDR

• แฮกเกอร์ใช้ Obsidian Plugins ในการติดตั้งมัลแวร์แบบลับๆ บนอุปกรณ์
• กลโกง VC ปลอมบน LinkedIn ผักดันเหยื่อไปยัง Obsidian Plugins ที่เป็นอันตราย
• มัลแวร์ PHANTOMPULSE แพร่กระจายผ่าน Obsidian Plugins และ cloud vaults
• ผู้ใช้คริปโตถูกโจมตีผ่าน Telegram โดยใช้การโจมตีผ่าน Obsidian Plugins
• กลโกงใหม่ใช้ Obsidian Plugins เพื่อหลีกเลี่ยงระบบรักษาความปลอดภัยและขโมยการเข้าถึง

ผู้ใช้คริปโตกำลังเผชิญภัยคุกคามที่เพิ่มขึ้น เนื่องจากผู้โจมตีใช้ประโยชน์จาก Obsidian Plugins เพื่อติดตั้งมัลแวร์แบบลับๆ ผ่านกลยุทธ์วิศวกรรมสังคม แคมเปญนี้มุ่งเป้าไปที่ผู้เชี่ยวชาญด้านการเงินและแพร่กระจายผ่านการสนทนาบน LinkedIn และ Telegram นอกจากนี้ การใช้ Obsidian Plugins ในทางที่ผิดยังช่วยให้ผู้โจมตีหลีกเลี่ยงเครื่องมือรักษาความปลอดภัยและรันโค้ดที่ซ่อนอยู่ได้

แคมเปญวิศวกรรมสังคมใช้ Obsidian Plugins เป็นจุดเริ่มต้น

ผู้โจมตีเริ่มต้นการติดต่อผ่าน LinkedIn โดยปลอมตัวเป็นบริษัทเงินร่วมลงทุนที่มุ่งเป้าไปยังผู้เชี่ยวชาญด้านคริปโต จากนั้นพวกเขาย้ายการสนทนาไปยัง Telegram ซึ่งหุ้นส่วนปลอมหลายรายสร้างสภาพแวดล้อมทางธุรกิจที่น่าเชื่อถือ พวกเขาโน้มน้าวเป้าหมายให้เข้าถึงแดชบอร์ดที่แชร์โดยใช้ Obsidian Plugins

ผู้โจมตีนำเสนอ Obsidian เป็นเครื่องมือฐานข้อมูลที่ถูกต้องตามกฎหมายสำหรับการทำงานร่วมกันทางการเงิน พวกเขาให้ข้อมูลประจำตัวการเข้าสู่ระบบเพื่อเข้าถึง vault ที่โฮสต์บนคลาวด์ซึ่งควบคุมโดยผู้โจมตี เมื่อเหยื่อเปิด vault ผู้โจมตีจะส่งคำแนะนำให้เปิดใช้งานการซิงค์ Obsidian Plugins

ขั้นตอนนี้จะกระตุ้นห่วงโซ่การดำเนินการ เนื่องจาก Obsidian Plugins ที่ถูกฝังโทรจันจะรันสคริปต์ที่เป็นอันตรายอย่างเงียบๆ การโจมตีใช้คุณสมบัติปลั๊กอินในตัวเพื่อรันโค้ดโดยไม่ทำให้เกิดการแจ้งเตือน ผู้โจมตีใช้ประโยชน์จากพฤติกรรมซอฟต์แวร์ที่เชื่อถือได้แทนการใช้วิธีการส่งมอบมัลแวร์แบบดั้งเดิม

มัลแวร์ PHANTOMPULSE ขยายภัยคุกคามข้ามแพลตฟอร์ม

นักวิจัยด้านความปลอดภัยที่ Elastic Security Labs ระบุโทรจันการเข้าถึงระยะไกลใหม่ชื่อ PHANTOMPULSE มัลแวร์ทำงานบนทั้งระบบ Windows และ macOS ด้วยเส้นทางการดำเนินการที่แยกจากกัน มันใช้ Obsidian Plugins เป็นเวกเตอร์การเข้าถึงเริ่มต้นเพื่อติดตั้งเพย์โหลด

บน Windows มัลแวร์ใช้ตัวโหลดที่เข้ารหัสและเทคนิคการดำเนินการในหน่วยความจำเพื่อหลีกเลี่ยงการตรวจจับ มันพึ่งพาการเข้ารหัส AES-256 และการโหลดแบบสะท้อนเพื่อรักษาการปกปิดระหว่างการดำเนินการ ระบบ macOS ได้รับ AppleScript dropper ที่ถูกทำให้คลุมเครือพร้อมระบบคำสั่งสำรอง

PHANTOMPULSE แนะนำระบบคำสั่งแบบกระจายศูนย์ที่ใช้ธุรกรรมบล็อกเชนสำหรับการสื่อสาร มันดึงคำแนะนำจากข้อมูลบนเชนที่เชื่อมโยงกับกระเป๋าเงินข้ามหลายเครือข่าย ผลที่ได้คือมัลแวร์หลีกเลี่ยงการพึ่งพาเซิร์ฟเวอร์แบบรวมศูนย์และรักษาการคงอยู่แม้ในภาวะหยุดชะงัก

ภัยคุกคามคริปโตที่เพิ่มขึ้นเน้นจุดอ่อนในเครื่องมือที่เชื่อถือได้

แพลตฟอร์มคริปโตยังคงเป็นเป้าหมายที่น่าดึงดูดเนื่องจากธุรกรรมบล็อกเชนที่ย้อนกลับไม่ได้และกระเป๋าเงินมูลค่าสูง ในปี 2025 ผู้โจมตีขโมยเงินมากกว่า 713 ล้านดอลลาร์จากกระเป๋าเงินส่วนบุคคล ซึ่งเน้นความเสี่ยงที่เพิ่มขึ้น Obsidian Plugins ให้วิธีการใหม่แก่ผู้โจมตีในการหลีกเลี่ยงการป้องกันมาตรฐาน

แคมเปญแสดงให้เห็นว่าเครื่องมือเพิ่มผลผลิตที่ถูกต้องตามกฎหมายสามารถกลายเป็นเวกเตอร์การโจมตีได้อย่างไรเมื่อถูกใช้ในทางที่ผิด ผู้โจมตีใช้ประโยชน์จากระบบนิเวศปลั๊กอินเพื่อรันโค้ดตามอำเภอใจโดยไม่กระตุ้นการแจ้งเตือนความปลอดภัยแบบดั้งเดิม องค์กรต้องติดตามและจำกัดการใช้ปลั๊กอินของบุคคลที่สามในสภาพแวดล้อมที่สำคัญ

ทีมความปลอดภัยขณะนี้แนะนำให้บังคับใช้นโยบายปลั๊กอินที่เข้มงวดและจำกัดการเข้าถึง vault ภายนอก พวกเขายังแนะนำให้ตรวจสอบแหล่งการสื่อสารก่อนติดตั้งหรือเปิดใช้งาน Obsidian Plugins การรับรู้และการควบคุมยังคงเป็นการป้องกันหลักต่อภัยคุกคามวิศวกรรมสังคมที่พัฒนาอยู่

โพสต์  Crypto Scam Alert: Hackers Exploit Obsidian Plugins to Deploy Stealth Malware ปรากฏครั้งแรกบน CoinCentral