Эксперты Elastic Security Labs обнаружили новую кампанию социальной инженерии под кодовым названием REF6598. Злоумышленники используют популярное приложение для заметок Obsidian как инструмент для первоначального доступа к устройствам жертв. Основными целями стали специалисты из финансового и криптовалютного секторов.
Атака начинается с контакта в LinkedIn и продолжается в Telegram. Преступники выдают себя за представителей венчурной компании и обсуждают темы, связанные с финансовыми услугами и криптовалютной ликвидностью. Такой подход помогает создать доверие и убедить жертву в подлинности общения.
Потенциальной жертве предлагают использовать Obsidian в качестве «управленческой базы данных» и предоставляют доступ к облачному хранилищу, контролируемому злоумышленниками. После подключения пользователя просят активировать плагины сообщества. Среди них — Shell Commands и Hider, которые запускают вредоносный код при открытии общего хранилища.
Elastic Defend выявил подозрительную активность на раннем этапе и предотвратил атаку, не позволив злоумышленникам достичь своих целей.
Цепочка заражения работает как на Windows, так и на macOS. В Windows используется промежуточный загрузчик с шифрованием AES-256-CBC, который загружает вредоносные файлы непосредственно в память и применяет методы защиты от анализа. Финальной стадией становится развертывание ранее неизвестного трояна удаленного доступа PHANTOMPULSE — многофункционального бэкдора с управлением через блокчейн и элементами искусственного интеллекта.
На macOS атака реализуется через обфусцированный дроппер на AppleScript с резервным каналом связи через Telegram.
Изначально специалисты заподозрили поддельную версию Obsidian, однако проверка цифровой подписи подтвердила подлинность приложения. Это указывает на использование легитимного программного обеспечения в качестве инструмента кибератаки.
Ранее мы рассказывали о том, как злоумышленники используют искусственный интеллект для осуществления мошенничества с криптовалютой.