Попередження про криптошахрайство: Хакери експлуатують плагіни Obsidian для розгортання прихованого шкідливого програмного забезпечення

TLDR

• Хакери зловживають плагінами Obsidian для встановлення прихованого шкідливого ПЗ на пристроях
• Фейкові венчурні шахрайства в LinkedIn штовхають жертв до шкідливих плагінів Obsidian
• Шкідливе ПЗ PHANTOMPULSE поширюється через плагіни Obsidian та хмарні сховища
• Користувачів криптовалют атакують через Telegram за допомогою плагінів Obsidian
• Нове шахрайство використовує плагіни Obsidian для обходу безпеки та крадіжки доступу

Користувачі криптовалют стикаються зі зростаючою загрозою, оскільки зловмисники експлуатують плагіни Obsidian для встановлення прихованого шкідливого ПЗ через тактики соціальної інженерії. Кампанія націлена на фінансових фахівців і поширюється через розмови в LinkedIn та Telegram. Більше того, зловживання плагінами Obsidian дозволяє зловмисникам обходити інструменти безпеки та виконувати прихований код.

Кампанія соціальної інженерії використовує плагіни Obsidian як точку входу

Зловмисники ініціюють контакт через LinkedIn, видаючи себе за венчурні компанії, які орієнтуються на криптофахівців. Пізніше вони переносять розмови в Telegram, де кілька фейкових партнерів створюють правдоподібне бізнес-середовище. Вони переконують цілі отримати доступ до спільних інформаційних панелей за допомогою плагінів Obsidian.

Зловмисники представляють Obsidian як легітимний інструмент бази даних для фінансової співпраці. Вони надають облікові дані для доступу до хмарного сховища, контрольованого зловмисниками. Після того, як жертва відкриває сховище, зловмисники надсилають інструкції для ввімкнення синхронізації плагінів Obsidian.

Цей крок запускає ланцюг виконання, оскільки троянізовані плагіни Obsidian тихо запускають шкідливі скрипти. Атака використовує вбудовані функції плагінів для виконання коду без підняття тривог. Зловмисники експлуатують поведінку довіреного програмного забезпечення замість використання традиційних методів доставки шкідливого ПЗ.

Шкідливе ПЗ PHANTOMPULSE розширює крос-платформенну загрозу

Дослідники безпеки в Elastic Security Labs ідентифікували нового трояна віддаленого доступу під назвою PHANTOMPULSE. Шкідливе ПЗ працює як на системах Windows, так і на macOS з окремими шляхами виконання. Воно використовує плагіни Obsidian як початковий вектор доступу для розгортання корисних навантажень.

У Windows шкідливе ПЗ використовує зашифровані завантажувачі та техніки виконання в пам'яті для уникнення виявлення. Воно покладається на шифрування AES-256 та рефлексивне завантаження для підтримки прихованості під час виконання. Системи macOS отримують обфускований дропер AppleScript з резервною командною системою.

PHANTOMPULSE впроваджує децентралізовану командну систему, яка використовує блокчейн-транзакції для комунікації. Воно отримує інструкції з даних у ланцюзі, пов'язаних з гаманцями, у кількох мережах. У результаті шкідливе ПЗ уникає залежності від централізованих серверів і зберігає стійкість навіть під час порушення.

Зростаючі криптозагрози висвітлюють слабкість у довірених інструментах

Криптоплатформи залишаються привабливими цілями через незворотні блокчейн-транзакції та високовартісні гаманці. У 2025 році зловмисники викрали понад 713 мільйонів доларів з індивідуальних гаманців, що підкреслює зростаючі ризики. Плагіни Obsidian надають зловмисникам новий метод обходу стандартного захисту.

Кампанія показує, як легітимні інструменти продуктивності можуть стати векторами атак при неправильному використанні. Зловмисники експлуатують екосистеми плагінів для запуску довільного коду без запуску традиційних сповіщень безпеки. Організації повинні контролювати та обмежувати використання сторонніх плагінів у критичних середовищах.

Команди безпеки тепер рекомендують застосовувати суворі політики щодо плагінів та обмежувати зовнішній доступ до сховищ. Вони також радять перевіряти джерела комунікації перед встановленням або увімкненням плагінів Obsidian. Обізнаність та контроль залишаються ключовими засобами захисту від еволюціонуючих загроз соціальної інженерії.

Публікація  Crypto Scam Alert: Hackers Exploit Obsidian Plugins to Deploy Stealth Malware вперше з'явилася на CoinCentral.