Introduction
Des chercheurs en sécurité ont identifié une campagne de social engineering ciblée qui utilise l'application de prise de notes Obsidian pour déployer un cheval de Troie à accès distant (RAT) nommé PHANTOMPULSE. Cette campagne vise les individus dans les secteurs financier et de la cryptomonnaie sur Windows et macOS.
Contexte Technique
La campagne, désignée REF6598, est un effort de social engineering à plusieurs étapes. Les acteurs menaçants se présentent comme des capitalistes d'investissement et engagent les cibles sur des sites de réseautage professionnel avant de déplacer la conversation vers un groupe Telegram privé. L'objectif principal est une invitation à collaborer via un coffre Obsidian partagé.
Une fois que la victime ouvre le coffre partagé, l'infection est déclenchée par du social engineering. La victime est invitée à activer la fonction de synchronisation des plugins de la communauté. Cette action, qui nécessite l'approbation manuelle de l'utilisateur, est la clé du compromis. Elle active des versions malveillantes de plugins Obsidian légitimes ('Shell Commands' et 'Hider') présents dans le coffre partagé.
Analyse et Implications
La chaîne d'attaque diffère légèrement entre Windows et macOS, mais suit le même principe général. L'attaquant utilise du social engineering sur LinkedIn/Telegram pour convaincre la cible d'ouvrir un coffre Obsidian malveillant partagé. Une fois actif, PHANTOMPULSE peut capturer les frappes au clavier, prendre des captures d'écran, exfiltrer des fichiers et exécuter des commandes arbitraires.
Une compromission réussie donne à l'attaquant un accès complet à la machine de la victime. Pour les professionnels de la finance et de la cryptomonnaie, cela pourrait entraîner le vol de données d'entreprise sensibles, de propriété intellectuelle, de stratégies de trading et, plus critiques encore, de clés de portefeuille de cryptomonnaie et de informations d'échange.
Perspective
Il est essentiel de surveiller les plugins de la communauté et de désactiver la synchronisation automatique pour les coffres non fiables. Il est également important de former les utilisateurs sur les dangers du social engineering et de mettre en œuvre des règles de détection pour identifier les comportements anormaux. La mise à jour des solutions de sécurité des points de terminaison et l'utilisation du principe du moindre privilège sont également cruciales pour limiter l'impact d'une compromission.
