恶意行为者利用合法编码工具来传播复杂的数字货币威胁

随着恶意行为者将黑曜石插件武器化，通过精心设计的社会工程计划传播隐藏的恶意软件，复杂的网络威胁出现了。这一攻击性活动专门针对金融行业专业人士，并通过 LinkedIn 和 Telegram 通信进行扩散。此外，利用黑曜石插件使威胁行为者能够逃避检测系统并运行未经授权的可执行代码。威胁行为者通过 LinkedIn 建立初步联系，冒充专注于加密货币行业目标的风险投资代表。随后，通信迁移到 Telegram 平台，在该平台上，协调一致的虚假个人资料构建了真实的商业外观。受害者会收到有说服力的指示，以使用由黑曜石插件提供支持的协作仪表板。对手将 Obsidian 定位为专为金融部门合作而设计的企业级数据库解决方案。目标接收身份验证凭据，授予对攻击者控制的云托管存储库的访问权限。在访问这些存储库时，受害者会遇到指示他们激活黑曜石插件同步功能的指令。这一关键操作启动了妥协序列，因为武器化的黑曜石插件会秘密执行恶意负载。该攻击利用本机插件功能来运行代码，同时逃避安全监控。对手操纵合法的软件操作，而不是部署传统的恶意软件分发技术。 Elastic Security Labs 研究人员发现了一种名为 PHANTOMPULSE 的高级远程访问木马。这种威胁利用不同的执行方法在 Windows 和 macOS 环境中运行。该恶意软件采用黑曜石插件作为有效负载分发的主要渗透机制。在 Windows 环境中，恶意软件实施加密的加载程序组件和内存驻留执行策略来逃避检测机制。该威胁利用 AES-256 加密保护和反射加载方法来在整个操作过程中保持隐秘性。 macOS 目标接收具有冗余命令基础设施的模糊 AppleScript 交付机制。 PHANTOMPULSE 利用区块链事务进行操作通信，实现分布式命令架构。命令指令从跨多个区块链网络的钱包相关链上数据中提取。因此，尽管采取了拦截措施，恶意软件消除了对集中式基础设施的依赖并保持了操作连续性。由于不可逆转的交易特性和巨大的钱包估值，加密货币平台继续吸引对手。 2025 年全年，网络犯罪分子从个人加密货币钱包中窃取了超过 7.13 亿美元，凸显了漏洞不断升级。黑曜石插件为攻击者提供了创新技术来规避既定的保护机制。该活动展示了受信任的生产力应用程序如何通过利用转变为危害媒介。攻击者操纵插件框架来执行未经授权的代码，而无需激活传统的安全监控系统。企业必须实施全面的监控和限制协议来管理敏感操作环境中第三方插件的使用。安全专业人士目前主张实施严格的插件治理框架并限制外部保管库连接。他们还建议在安装或激活黑曜石插件之前对通信来源进行全面验证。增强意识和访问控制构成了针对先进社会工程方法的重要保护措施。