Cryptonews

Un sofisticado esquema de phishing explota una plataforma digital de toma de notas ampliamente utilizada para engañar a los entusiastas de las criptomonedas

Fuente
cryptonewstrend.com
Publicado
Un sofisticado esquema de phishing explota una plataforma digital de toma de notas ampliamente utilizada para engañar a los entusiastas de las criptomonedas

Se ha advertido a los usuarios de criptomonedas sobre una nueva estafa de ingeniería social que engaña a las víctimas para que utilicen complementos comunitarios en la aplicación de toma de notas Obsidian para, sin saberlo, ejecutar malware que puede tomar el control de sus dispositivos.

Elastic Security Labs dijo en un informe el martes que encontró una nueva campaña dirigida a aquellos en criptografía y finanzas que utilizan "elaborada ingeniería social en LinkedIn y Telegram" para engañar a las víctimas para que permitan que se ejecute software malicioso, pero aparentemente seguro, en sus dispositivos.

Los atacantes abusan del ecosistema de complementos comunitarios en Obsidian para "ejecutar código de forma silenciosa cuando una víctima abre una bóveda en la nube compartida", y los ataques funcionan tanto en dispositivos Windows como macOS.

Es la última campaña de ataque conocida dirigida a usuarios de criptomonedas, un objetivo popular para los estafadores, ya que las transacciones de blockchain no se pueden revertir. En 2025, se robaron 713 millones de dólares mediante compromisos de carteras criptográficas individuales, según Chainalysis.

Elastic dijo que los estafadores contactan a las víctimas en LinkedIn con el pretexto de ser una empresa de capital de riesgo y, finalmente, dirigen la conversación a Telegram en discusiones sobre "servicios financieros, específicamente soluciones de liquidez de criptomonedas, creando un contexto comercial plausible".

Los atacantes piden a su objetivo que utilice Obsidian, enmarcándola como la base de datos falsa de su empresa para acceder a un panel compartido, y la víctima potencial recibe un inicio de sesión para conectarse a una bóveda alojada en la nube controlada por los atacantes.

"Esta bóveda es el vector de acceso inicial", dijo Elastic. "Una vez abierto en Obsidian, se le indica al objetivo que habilite la sincronización de los complementos de la comunidad. Después de eso, los complementos troyanizados ejecutan silenciosamente la cadena de ataque".

Fuente: Laboratorios de seguridad elástica

Los ataques difieren ligeramente en Windows y macOS, pero ambos implementan un troyano de acceso remoto previamente no documentado, o RAT, que Elastic denominó "PHANTOMPULSE".

El malware, que está disfrazado de software legítimo, otorga a los atacantes control sobre el dispositivo de la víctima, y ​​Elastic agrega que fue "diseñado para el sigilo, la resiliencia y el acceso remoto integral".

Elastic dijo que PHANTOMPULSE utiliza un mecanismo descentralizado de comando y control a través de al menos tres redes blockchain diferentes, utilizando datos de transacciones en cadena vinculados a una billetera específica para conectarse con el atacante y recibir instrucciones.

Relacionado: El Tesoro de EE. UU. amplía la información sobre amenazas a la ciberseguridad a la industria de la criptografía

"Esta técnica proporciona al operador una capacidad de rotación independiente de la infraestructura", dijo Elastic. "Debido a que las transacciones de blockchain son inmutables y accesibles públicamente, el malware siempre puede localizar su C2 [mecanismo de comando y control] sin depender de una infraestructura centralizada".

"El uso de tres cadenas independientes añade redundancia: incluso si el explorador de una cadena está bloqueado o no está disponible, los dos restantes proporcionan rutas de resolución alternativas", añadió.

Elastic dijo que pudo bloquear el ataque, pero muestra que los atacantes "continúan encontrando vectores de acceso inicial creativos", ya que abusar del ecosistema de complementos administrado por la comunidad de Obsidian les permitió eludir "los controles de seguridad tradicionales por completo, confiando en la funcionalidad prevista de la aplicación para ejecutar código arbitrario".

Añadió que las empresas financieras y criptográficas "deben ser conscientes de que las herramientas de productividad legítimas pueden convertirse en vectores de ataque" y las organizaciones deberían hacer cumplir políticas de complementos a nivel de aplicación para defenderse de ataques similares.

Revista: Bitcoin puede tardar 7 años en actualizarse a poscuántico - coautor de BIP-360