Usuarios de criptomonedas, objetivo de una estafa 'elaborada' usando una popular aplicación de notas

Un nuevo ataque de ingeniería social engaña a las víctimas para que usen plugins comunitarios en la app de notas Obsidian. Esto ejecuta malware que puede tomar el control de sus dispositivos, según un informe de Elastic Security Labs.

La campaña, dirigida a personas en cripto y finanzas, usa tácticas elaboradas en LinkedIn y Telegram. Los atacantes abusan del ecosistema de plugins de Obsidian para ejecutar código silenciosamente cuando la víctima abre una bóveda en la nube.

Los estafadores contactan a las víctimas en LinkedIn haciéndose pasar por una firma de capital de riesgo. Luego trasladan la conversación a Telegram para discutir soluciones de liquidez en criptomonedas, creando un contexto empresarial plausible.

Instruyen a la víctima para que use Obsidian, presentándolo como la base de datos de su empresa falsa. Al conectar con una bóveda en la nube controlada por los atacantes y sincronizar plugins, se ejecuta la cadena de ataque.

El malware despliega un troyano de acceso remoto previamente indocumentado llamado PHANTOMPULSE. Está diseñado para el sigilo y da control completo del dispositivo a los atacantes.

PHANTOMPULSE usa un mecanismo de comando y control descentralizado a través de al menos tres redes blockchain. Utiliza datos de transacciones on-chain vinculados a una wallet específica para recibir instrucciones.

Este método permite a los operadores rotar infraestructuras de forma ágil. La inmutabilidad y acceso público de las transacciones blockchain asegura que el malware siempre localice su servidor de control.

El ataque demuestra que herramientas legítimas de productividad pueden convertirse en vectores de ataque. Las organizaciones deben aplicar políticas de seguridad a nivel de plugins de aplicaciones para defenderse.