Plugin Obsidian exploité pour déployer un cheval de Troie
Original : Obsidian plugin was abused to deploy a remote access trojan
Pourquoi c'est important
Première campagne connue exploitant Obsidian avec C2 blockchain décentralisé
Des chercheurs identifient une campagne ciblant les professionnels de la finance et crypto via Obsidian. Les attaqueurs utilisent LinkedIn/Telegram pour déployer PHANTOMPULSE RAT en manipulant les plugins communautaires de l'application de prise de notes.
La campagne REF6598 exploite l'application Obsidian pour diffuser le cheval de Troie PHANTOMPULSE sur Windows et macOS. Les attaquants se font passer pour des investisseurs sur LinkedIn et Telegram, invitant les victimes à collaborer via un coffre-fort Obsidian partagé malveillant. L'infection se déclenche quand l'utilisateur active les plugins communautaires, exécutant des versions compromises des plugins 'Shell Commands' et 'Hider'. PHANTOMPULSE utilise la blockchain Ethereum pour résoudre dynamiquement l'adresse de son serveur C2, interrogeant les transactions d'un portefeuille codé en dur. Le malware peut capturer les frappes clavier, prendre des captures d'écran et exécuter des commandes arbitraires.