Iscriviti al webinar gratuito del 28 Aprile per diventare Ethical Hacker! Scopri di più
Obsidian sotto attacco PHANTOMPULSE: LinkedIn e Telegram ingannano finanza e crypto con plugin “community” attivati dall’utente
Una nuova campagna di social engineering sta sfruttando Obsidian, applicazione multipiattaforma per prendere appunti, come vettore di accesso iniziale per distribuire un trojan di accesso remoto Windows chiamato PHANTOMPULSE. Gli attacchi risultano mirati a persone che operano nei settori finanza e criptovalute e combinano tecniche di persuasione con l’abuso di funzionalità legittime, rendendo più complessa la rilevazione da parte dei controlli tradizionali.
La catena di infezione parte da un contatto su LinkedIn, dove gli attaccanti si presentano come una realtà credibile, ad esempio una società di venture capital. La conversazione viene poi spostata su Telegram in un gruppo costruito ad arte, con più membri e discussioni su servizi finanziari e soluzioni di liquidità crypto. Lo scopo è aumentare la fiducia della vittima e guidarla a compiere azioni specifiche. Il passaggio chiave consiste nell’invitare il bersaglio ad aprire con Obsidian un vault condiviso ospitato nel cloud, fornendo credenziali e istruzioni operative.
L’elemento critico è la richiesta di abilitare la sincronizzazione dei plugin della comunità. Questa opzione è disattivata di default e non può essere attivata da remoto, quindi la campagna dipende dalla manipolazione dell’utente. Una volta abilitata, il vault contiene configurazioni in formato JSON che innescano l’esecuzione di comandi tramite plugin legittimi come Shell Commands e l’uso di Hider per nascondere elementi dell’interfaccia e ridurre i segnali visibili. In questo modo il payload vive in configurazioni che difficilmente attivano firme antivirus, mentre l’esecuzione avviene sotto un applicativo Electron firmato e considerato affidabile.
Su Windows vengono lanciati comandi che richiamano PowerShell per installare un loader intermedio, PHANTOMPULL, che decifra ed esegue PHANTOMPULSE in memoria. Il malware utilizza la blockchain di Ethereum per ricavare l’indirizzo del server di comando e controllo leggendo l’ultima transazione associata a un wallet hard coded, poi comunica via WinHTTP. Le funzionalità includono invio telemetria, esecuzione comandi, upload di file e screenshot, keylogging, iniezione in processi, escalation privilegi e procedure di uninstall.
Su macOS la campagna impiega AppleScript offuscato e una lista di domini, con Telegram usato come meccanismo di fallback per risolvere il comando e controllo, facilitando la rotazione dell’infrastruttura e limitando l’efficacia dei blocchi basati su domini.