Cryptonews

Злоумышленники используют законные инструменты кодирования для распространения сложных угроз цифровой валюты

Источник
cryptonewstrend.com
Опубликовано
Злоумышленники используют законные инструменты кодирования для распространения сложных угроз цифровой валюты

Оглавление Сложная киберугроза возникает, когда злоумышленники используют плагины Obsidian в качестве оружия для скрытой доставки вредоносного ПО с помощью сложных схем социальной инженерии. Эта наступательная кампания специально нацелена на профессионалов финансового сектора и распространяется через коммуникации LinkedIn и Telegram. Кроме того, использование плагинов Obsidian позволяет злоумышленникам уклоняться от систем обнаружения и запускать несанкционированный исполняемый код. Злоумышленники устанавливают первоначальный контакт через LinkedIn, выдавая себя за представителей венчурного капитала, ориентированных на цели индустрии криптовалют. Впоследствии коммуникации переходят на платформы Telegram, где скоординированные фейковые профили создают подлинный бизнес-фасад. Жертвы получают убедительные инструкции по использованию панелей управления для совместной работы на базе плагинов Obsidian. Злоумышленники позиционируют Obsidian как решение для баз данных корпоративного уровня, предназначенное для сотрудничества в финансовом секторе. Целевые объекты получают учетные данные аутентификации, предоставляющие доступ к контролируемым злоумышленниками облачным репозиториям. При доступе к этим репозиториям жертвы сталкиваются с директивами, предписывающими им активировать возможности синхронизации плагинов Obsidian. Это критическое действие инициирует последовательность компрометации, поскольку используемые в качестве оружия плагины Obsidian тайно выполняют вредоносные полезные нагрузки. Нападение использует встроенную функциональность плагина для запуска кода, уклоняясь от мониторинга безопасности. Злоумышленники манипулируют законными операциями программного обеспечения, а не используют традиционные методы распространения вредоносного ПО. Исследователи Elastic Security Labs обнаружили усовершенствованный троян удаленного доступа под названием PHANTOMPULSE. Эта угроза действует в средах Windows и macOS, используя разные методологии выполнения. Вредоносное ПО использует плагины Obsidian в качестве основного механизма проникновения для распространения полезной нагрузки. В средах Windows вредоносное ПО реализует зашифрованные компоненты загрузчика и резидентные стратегии выполнения, чтобы обойти механизмы обнаружения. Угроза использует криптографическую защиту AES-256 и методологии отражающей загрузки для сохранения скрытности на протяжении всей операции. Цели macOS получают запутанные механизмы доставки AppleScript с избыточной командной инфраструктурой. PHANTOMPULSE реализует архитектуру распределенных команд, использующую транзакции блокчейна для оперативной связи. Командные инструкции извлекаются из связанных с кошельком данных в цепочке, охватывающих несколько сетей блокчейнов. Следовательно, вредоносное ПО устраняет зависимость от централизованной инфраструктуры и обеспечивает непрерывность работы, несмотря на усилия по блокированию. Криптоплатформы продолжают привлекать противников из-за необратимых характеристик транзакций и значительной стоимости кошельков. В течение 2025 года киберпреступники украли более 713 миллионов долларов США из отдельных криптовалютных кошельков, что подчеркивает растущую уязвимость. Плагины Obsidian предоставляют злоумышленникам инновационные методы обхода установленных механизмов защиты. Эта кампания демонстрирует, как надежные приложения для повышения производительности превращаются в источники компрометации в результате эксплуатации. Злоумышленники манипулируют платформами плагинов для выполнения неавторизованного кода без активации традиционных систем мониторинга безопасности. Предприятия должны внедрить комплексные протоколы мониторинга и ограничения, регулирующие использование сторонних плагинов в конфиденциальных операционных контекстах. Специалисты по безопасности в настоящее время выступают за внедрение строгих инфраструктур управления плагинами и ограничение возможности подключения к внешнему хранилищу. Они также рекомендуют провести комплексную проверку источника связи перед установкой или активацией плагинов Obsidian. Повышенная осведомленность и контроль доступа представляют собой важные меры защиты от продвижения методологий социальной инженерии.