Исследователи из Elastic Security Labs обнаружили новую изощрённую схему социальной инженерии, нацеленную на профессионалов в сфере криптовалют и финансов. Злоумышленники используют приложение для ведения заметок Obsidian для распространения скрытого вредоносного ПО, получившего название PHANTOMPULSE.
Атака начинается в профессиональных сетях. Мошенники представляются сотрудниками венчурных фондов на LinkedIn, устанавливая контакт с потенциальными жертвами из криптоиндустрии. После установления доверительных отношений общение переходит в Telegram, где злоумышленники создают правдоподобный бизнес-контекст, обсуждая вопросы ликвидности криптоактивов.
Ключевым элементом атаки становится предложение получить доступ к «корпоративной базе данных» или дашборду, размещённому в общем облачном хранилище Obsidian. Жертве предоставляют учётные данные для входа в этот «вот». После открытия хранилища пользователя просят включить синхронизацию плагинов сообщества, что и служит спусковым крючком для атаки. Этот шаг запускает выполнение троянизированного кода, который устанавливает на устройство удалённый троян (RAT).
PHANTOMPULSE — это ранее неизвестное вредоносное ПО, которое предоставляет злоумышленникам полный контроль над заражённым устройством, оставаясь при этом незаметным для систем защиты. Особенностью трояна является использование децентрализованной системы командного управления через блокчейн. Программа получает инструкции, считывая данные транзакций, привязанных к определённым кошелькам, в трёх различных блокчейн-сетях. Это позволяет злоумышленникам обходиться без централизованных серверов, используя публичную и неизменную природу блокчейна для поддержания связи с заражёнными машинами.
Эксперты отмечают, что эта схема особенно опасна на фоне растущих потерь от компрометации кошельков. По данным Chainalysis, только в 2025 году хакеры похитили с индивидуальных кошельков $713 миллионов. Новая атака демонстрирует, как злоумышленники могут обходить традиционные средства защиты, маскируясь под легитимные инструменты для повышения производительности, такие как плагины для популярных приложений.
В качестве мер противодействия Elastic Security Labs рекомендует финансовым компаниям, особенно работающим с цифровыми активами, внедрять строгие политики контроля на уровне приложений для плагинов, ограничивать доступ к внешним хранилищам и тщательно проверять источники коммуникации перед установкой любого стороннего программного обеспечения.
