Cryptonews

Un système de phishing sophistiqué exploite une plate-forme de prise de notes numérique largement utilisée pour duper les amateurs de crypto-monnaie

Source
cryptonewstrend.com
Publié
Un système de phishing sophistiqué exploite une plate-forme de prise de notes numérique largement utilisée pour duper les amateurs de crypto-monnaie

Les utilisateurs de crypto ont été avertis d'une nouvelle arnaque d'ingénierie sociale qui incite les victimes à utiliser des plugins communautaires sur l'application de prise de notes Obsidian pour exécuter sans le savoir des logiciels malveillants capables de prendre le contrôle de leurs appareils.

Elastic Security Labs a déclaré mardi dans un rapport avoir trouvé une nouvelle campagne ciblant les acteurs de la cryptographie et de la finance utilisant « une ingénierie sociale élaborée sur LinkedIn et Telegram » pour inciter les victimes à autoriser l'exécution de logiciels malveillants, mais apparemment sûrs, sur leurs appareils.

Les attaquants abusent de l’écosystème de plugins communautaires sur Obsidian pour « exécuter silencieusement du code lorsqu’une victime ouvre un coffre-fort cloud partagé », les attaques fonctionnant à la fois sur les appareils Windows et macOS.

Il s'agit de la dernière campagne d'attaque connue ciblant les utilisateurs de crypto, une cible populaire pour les escrocs, car les transactions blockchain ne peuvent pas être annulées. En 2025, 713 millions de dollars ont été volés via la compromission de portefeuilles cryptographiques individuels, selon Chainalysis.

Elastic a déclaré que les escrocs contactaient les victimes sur LinkedIn sous prétexte d'être une société de capital-risque et orientaient finalement la conversation vers Telegram dans des discussions sur « les services financiers, en particulier les solutions de liquidité de crypto-monnaie, créant un contexte commercial plausible ».

Les attaquants demandent à leur cible d’utiliser Obsidian, en le présentant comme la base de données de leur fausse entreprise pour accéder à un tableau de bord partagé, et la victime potentielle reçoit un identifiant pour se connecter à un coffre-fort hébergé dans le cloud et contrôlé par les attaquants.

"Ce coffre-fort est le vecteur d'accès initial", a déclaré Elastic. "Une fois ouverte dans Obsidian, la cible est invitée à activer la synchronisation des plugins de la communauté. Après cela, les plugins trojanisés exécutent silencieusement la chaîne d'attaque. "

Source : Laboratoires de sécurité élastiques

Les attaques diffèrent légèrement sous Windows et macOS, mais les deux déploient un cheval de Troie d'accès à distance, ou RAT, jusqu'alors non documenté, qu'Elastic a surnommé « PHANTOMPULSE ».

Le malware, déguisé en logiciel légitime, donne aux attaquants le contrôle de l'appareil de la victime, Elastic ajoutant qu'il a été « conçu pour la furtivité, la résilience et un accès à distance complet ».

Elastic a déclaré que PHANTOMPULSE utilise un mécanisme de commande et de contrôle décentralisé via au moins trois réseaux blockchain différents, utilisant des données de transaction en chaîne liées à un portefeuille spécifique pour se connecter à l'attaquant et recevoir des instructions.

En relation: Le Trésor américain étend les informations sur les menaces de cybersécurité au secteur de la cryptographie

"Cette technique offre à l'opérateur une capacité de rotation indépendante de l'infrastructure", a déclaré Elastic. "Les transactions blockchain étant immuables et accessibles au public, les logiciels malveillants peuvent toujours localiser leur C2 [mécanisme de commande et de contrôle] sans recourir à une infrastructure centralisée."

"L'utilisation de trois chaînes indépendantes ajoute de la redondance : même si l'explorateur d'une chaîne est bloqué ou indisponible, les deux autres fournissent des chemins de résolution alternatifs", ajoute-t-il.

Elastic a déclaré avoir réussi à bloquer l'attaque, mais cela montre que les attaquants « continuent de trouver des vecteurs d'accès initiaux créatifs », car l'abus de l'écosystème de plugins géré par la communauté d'Obsidian leur a permis de contourner « entièrement les contrôles de sécurité traditionnels, en s'appuyant sur les fonctionnalités prévues de l'application pour exécuter du code arbitraire ».

Il a ajouté que les sociétés financières et cryptographiques « devraient être conscientes que les outils de productivité légitimes peuvent être transformés en vecteurs d’attaque » et que les organisations devraient appliquer des politiques de plug-in au niveau des applications pour se défendre contre des attaques similaires.

Magazine : Bitcoin pourrait prendre 7 ans pour passer au post-quantique — co-auteur du BIP-360