Пользователей криптовалют атакуют через «хитрую» схему с плагинами для Obsidian

Криптопользователей предупредили о новой атаке социальной инженерии: злоумышленники убеждают жертв использовать плагины сообщества в приложении для заметок Obsidian, из-за чего на устройство незаметно попадает вредоносное ПО, способное перехватывать управление.

Как сообщили в Elastic Security Labs в опубликованном во вторник отчете, обнаружена новая кампания против участников крипто- и финансового рынка. Атакующие используют «сложную социальную инженерию в LinkedIn и Telegram», чтобы заставить жертву разрешить запуск вредоносного, но внешне безопасного софта.

По данным исследователей, преступники эксплуатируют экосистему плагинов сообщества Obsidian: код может «тихо выполняться, когда жертва открывает общий облачный vault». Атаки работают и на Windows, и на macOS.

Это очередная кампания, нацеленная на криптопользователей, которых часто выбирают целью из-за необратимости транзакций в блокчейне. По оценке Chainalysis, в 2025 году из-за взломов личных криптокошельков было похищено $713 млн.

В Elastic Security Labs пояснили, что мошенники выходят на контакт в LinkedIn, представляясь венчурным фондом, а затем переводят общение в Telegram, обсуждая «финансовые услуги, в частности решения по ликвидности в криптовалютах», чтобы создать правдоподобный деловой контекст.

Далее жертве предлагают пользоваться Obsidian, выдавая его за «базу данных» псевдокомпании для доступа к общему дашборду. Потенциальной жертве дают логин для подключения к облачному vault, который контролируют атакующие.

«Этот vault — начальный вектор доступа, — отметили в Elastic. — После открытия в Obsidian жертве предлагают включить синхронизацию плагинов сообщества. После этого троянизированные плагины незаметно запускают цепочку атаки».

Сценарии на Windows и macOS немного различаются, но в обоих случаях устанавливается ранее не описанный троян удаленного доступа (RAT), получивший у Elastic название PHANTOMPULSE.

Вредонос маскируется под легитимное ПО и дает атакующим контроль над устройством. В Elastic добавили, что он «спроектирован для скрытности, устойчивости и всестороннего удаленного доступа».

Также отмечается, что PHANTOMPULSE использует децентрализованный механизм управления через как минимум три разных блокчейн-сети: он обращается к данным транзакций, связанным с определенным кошельком, чтобы находить оператора и получать команды.

По словам Elastic, такой подход делает инфраструктуру управления независимой от конкретных серверов: из-за неизменяемости и публичной доступности блокчейн-транзакций вредонос всегда может найти свой канал управления без опоры на централизованную инфраструктуру. Использование трех независимых сетей дает резервирование на случай блокировок или недоступности одной из них.

В Elastic сообщили, что смогли заблокировать атаку, но подчеркнули: злоумышленники «продолжают находить креативные способы первичного проникновения». Злоупотребление плагинами сообщества Obsidian позволяет обходить «традиционные средства защиты», используя штатную функциональность приложения для выполнения произвольного кода.

Исследователи добавили, что финансовым и криптокомпаниям стоит учитывать: даже легитимные инструменты продуктивности могут превращаться в вектор атак. Для защиты рекомендуется вводить политики на уровне приложений, ограничивающие использование плагинов.

Источник: Elastic Security Labs