Plugin Obsidian Disalahgunakan untuk Menyebarkan Trojan Akses Jarak Jauh
Judul asli: Obsidian plugin was abused to deploy a remote access trojan
Mengapa Ini Penting
Menunjukkan evolusi malware menggunakan blockchain untuk infrastruktur C2 terdistribusi
Kampanye social engineering REF6598 menargetkan profesional keuangan dan kripto menggunakan plugin Obsidian palsu untuk menyebarkan RAT PHANTOMPULSE yang menggunakan blockchain Ethereum sebagai C2.
Peneliti keamanan mengidentifikasi kampanye social engineering yang menargetkan sektor keuangan dan kripto di Windows dan macOS. Penyerang menyamar sebagai venture capitalist di LinkedIn dan Telegram, mengundang korban ke vault Obsidian bersama yang berisi plugin berbahaya. Korban diminta mengaktifkan 'Installed community plugins' yang memicu eksekusi plugin Shell Commands dan Hider palsu. Loader PHANTOMPULL kemudian mengunduh RAT PHANTOMPULSE ke memori untuk menghindari deteksi. PHANTOMPULSE menggunakan blockchain Ethereum untuk resolve alamat C2 server secara dinamis dengan query transaksi wallet terenkripsi, membuatnya tahan terhadap takedown. RAT ini dapat menangkap keystroke, screenshot, eksfiltrasi file, dan eksekusi command arbitrary.