Исследователи обнаружили целенаправленную кампанию REF6598, которая использует заметки в приложении Obsidian для доставки малоизвестного трояна PHANTOMPULSE. Атака фокусируется на специалистах финансов и криптоиндустрии, работающих под управлением Windows или macOS. Хакеры строят доверие в LinkedIn и Telegram, чтобы пригласить жертв в злонамеренный общий vault Obsidian. Главная уловка заключается в том, чтобы заставить пользователя включить синхронизацию «Community plugins». Эта функция кажется безобидной, но активирует вредоносные версии легитимных плагинов Shell Commands и Hider, которые уже есть в общем хранилище.
На Windows скрипт PowerShell развертывает загрузчик PHANTOMPULL, а на macOS используется AppleScript. Этот загрузчикdecrypts и запускает конечный троян PHANTOMPULSE прямо в оперативной памяти, чтобы избежать обнаружения файловой системой. Троян использует инновационный механизм C2: он запрашивает данные в блокчейне Ethereum, чтобы получить адрес управляющего сервера из транзакции хард-кодированного кошелька. Это делает инфраструктуру угроз устойчивой к блокировкам. Если защиту перехватить, PHANTOMPULSE умеет перехватывать нажатия клавиш, делать скриншоты, выкачивать файлы и выполнять любые команды.
Пользователи должны следить за тем, чтобы процесс Obsidian не запускал child-процессы типа powershell.exe, cmd.exe или osascript. Также стоит мониторить сетевой трафик на наличие исходящих подключений к узлам Ethereum из неожиданных приложений. Хакеры часто модифицируют файлы в папке vault/plugins, поэтому стоит настороже при изменении содержимого директории плагинов. Лучшая защита — не включать синхронизацию плагинов для неизвестных vault и всегда запускать Obsidian от имени обычного пользователя, а не администратора. Это ограничит ущерб в случае взлома. Инцидент выявляет новую тактику эксплуатации функций совместной работы, где доверие к партнеру превращается в точку входа для злоумышленников.