Ausgeklügeltes Phishing-Programm nutzt weit verbreitete digitale Notizplattform aus, um Kryptowährungs-Enthusiasten zu täuschen
Krypto-Benutzer wurden vor einem neuen Social-Engineering-Betrug gewarnt, der Opfer dazu verleitet, Community-Plugins der Notizen-App Obsidian zu verwenden, um unwissentlich Malware auszuführen, die die Kontrolle über ihre Geräte übernehmen kann.
Elastic Security Labs sagte am Dienstag in einem Bericht, dass es eine neuartige Kampagne gefunden habe, die sich an Personen aus der Krypto- und Finanzbranche richtet und „ausgeklügeltes Social Engineering auf LinkedIn und Telegram“ einsetzt, um Opfer dazu zu bringen, bösartige, aber scheinbar sichere Software auf ihren Geräten laufen zu lassen.
Angreifer missbrauchen das Community-Plugin-Ökosystem auf Obsidian, um „unbemerkt Code auszuführen, wenn ein Opfer einen gemeinsam genutzten Cloud-Tresor öffnet“, wobei Angriffe sowohl auf Windows- als auch auf macOS-Geräten funktionieren.
Es handelt sich um die neueste bekannte Angriffskampagne, die sich gegen Krypto-Benutzer richtet, ein beliebtes Ziel für Betrüger, da Blockchain-Transaktionen nicht rückgängig gemacht werden können. Laut Chainalysis wurden im Jahr 2025 713 Millionen US-Dollar durch Kompromittierungen einzelner Krypto-Wallets gestohlen.
Laut Elastic kontaktieren die Betrüger die Opfer auf LinkedIn unter dem Vorwand, eine Risikokapitalfirma zu sein, und lenken die Konversation schließlich auf Telegram, wo es um „Finanzdienstleistungen, insbesondere Liquiditätslösungen für Kryptowährungen, die einen plausiblen Geschäftskontext schaffen“ gehen.
Die Angreifer fordern ihr Ziel auf, Obsidian zu verwenden, und geben es als Datenbank ihres gefälschten Unternehmens für den Zugriff auf ein gemeinsames Dashboard aus. Das potenzielle Opfer erhält dann ein Login, um eine Verbindung zu einem von den Angreifern kontrollierten, in der Cloud gehosteten Tresor herzustellen.
„Dieser Tresor ist der erste Zugriffsvektor“, sagte Elastic. „Sobald das Ziel in Obsidian geöffnet ist, wird es angewiesen, die Synchronisierung der Community-Plugins zu aktivieren. Danach führen die trojanisierten Plugins die Angriffskette stillschweigend aus.“
Quelle: Elastic Security Labs
Die Angriffe unter Windows und macOS unterscheiden sich geringfügig, aber beide nutzen einen bisher undokumentierten Fernzugriffstrojaner (RAT), den Elastic „PHANTOMPULSE“ nennt.
Die als legitime Software getarnte Malware gibt den Angreifern die Kontrolle über das Gerät des Opfers. Elastic fügt hinzu, dass sie „für Tarnung, Widerstandsfähigkeit und umfassenden Fernzugriff konzipiert“ sei.
Elastic sagte, dass PHANTOMPULSE einen dezentralen Befehls- und Kontrollmechanismus über mindestens drei verschiedene Blockchain-Netzwerke verwendet und On-Chain-Transaktionsdaten verwendet, die an eine bestimmte Wallet gebunden sind, um eine Verbindung zum Angreifer herzustellen und Anweisungen zu erhalten.
Verwandt: Das US-Finanzministerium weitet Informationen zu Cybersicherheitsbedrohungen auf die Kryptoindustrie aus
„Diese Technik bietet dem Betreiber eine infrastrukturunabhängige Rotationsfähigkeit“, sagte Elastic. „Da Blockchain-Transaktionen unveränderlich und öffentlich zugänglich sind, kann die Malware ihren C2 [Befehls- und Kontrollmechanismus] jederzeit lokalisieren, ohne auf eine zentralisierte Infrastruktur angewiesen zu sein.“
„Die Verwendung von drei unabhängigen Ketten erhöht die Redundanz: Selbst wenn der Explorer einer Kette blockiert oder nicht verfügbar ist, bieten die verbleibenden beiden alternative Lösungspfade“, fügte er hinzu.
Elastic sagte, es sei in der Lage gewesen, den Angriff zu blockieren, aber es zeigt, dass Angreifer „weiterhin kreative Erstzugriffsvektoren finden“, da der Missbrauch des von der Community betriebenen Plugin-Ökosystems von Obsidian es ihnen ermöglichte, „herkömmliche Sicherheitskontrollen vollständig zu umgehen und sich auf die beabsichtigte Funktionalität der Anwendung zu verlassen, um beliebigen Code auszuführen“.
Es fügte hinzu, dass Finanz- und Kryptounternehmen „sich darüber im Klaren sein sollten, dass legitime Produktivitätstools in Angriffsvektoren umgewandelt werden können“, und dass Organisationen Plugin-Richtlinien auf App-Ebene durchsetzen sollten, um sich gegen ähnliche Angriffe zu verteidigen.
Magazin: Bitcoin kann 7 Jahre brauchen, um auf Post-Quantum umzusteigen – BIP-360-Co-Autor