Introduction
Les utilisateurs de crypto-monnaies sont la cible d'une nouvelle escroquerie élaborée qui utilise l'application de prise de notes Obsidian pour exécuter des logiciels malveillants. Cette escroquerie, découverte par Elastic Security Labs, utilise des techniques d'ingénierie sociale pour tromper les victimes et leur faire exécuter des plugins malveillants.
Contexte Technique
Les attaquants utilisent le système de plugins de la communauté d'Obsidian pour exécuter silencieusement du code lorsqu'une victime ouvre un coffre cloud partagé. Les attaques fonctionnent à la fois sur les appareils Windows et macOS. Les attaquants contactent les victimes sur LinkedIn en se faisant passer pour une société de capital-risque, puis les dirigent vers Telegram pour discuter de services financiers, notamment de solutions de liquidité de crypto-monnaies.
Les attaquants demandent à la cible d'utiliser Obsidian, en le présentant comme la base de données de leur société pour accéder à un tableau de bord partagé. La victime potentielle reçoit un identifiant de connexion pour se connecter à un coffre cloud hébergé par les attaquants. Une fois ouvert dans Obsidian, la cible est invitée à activer la synchronisation des plugins de la communauté, après quoi les plugins trojanisés exécutent silencieusement la chaîne d'attaque.
Analyse et Implications
Cette escrocherie est une illustration de la créativité des attaquants pour trouver des vecteurs d'accès initiaux. L'utilisation d'Obsidian et de ses plugins de communauté leur a permis de contourner les contrôles de sécurité traditionnels. Les attaques déployées déposent un cheval de Troie à accès distant (RAT) appelé « PHANTOMPULSE », qui donne aux attaquants le contrôle de l'appareil de la victime.
Le malware utilise un mécanisme de commandement et de contrôle décentralisé via au moins trois réseaux de blockchain différents, en utilisant des données de transactions en chaîne liées à un portefeuille spécifique pour se connecter à l'attaquant et recevoir des instructions. Cette technique permet à l'opérateur de disposer d'une infrastructure-agnostique de rotation.
Perspective
Les entreprises financières et de crypto-monnaies doivent être conscientes que des outils de productivité légitimes peuvent être transformés en vecteurs d'attaque. Les organisations doivent mettre en œuvre des politiques de plugins au niveau de l'application pour se défendre contre de telles attaques. Il est essentiel de rester vigilant face à ces menaces émergentes et de prendre des mesures pour protéger les appareils et les données sensibles.
