Как работает новая схема обмана

Исследователи из Elastic Security Labs выявили сложную многоэтапную атаку на пользователей криптовалют и специалистов финансового сектора. Мошенники злоупотребляют функцией сообщества плагинов в приложении для заметок Obsidian, чтобы незаметно запускать вредоносное программное обеспечение на устройствах жертв. Атака работает как на Windows, так и на macOS.

Схема начинается с контакта в LinkedIn, где злоумышленники представляются сотрудниками венчурного фонда. Затем они переводят общение в Telegram под предлогом обсуждения финансовых услуг, в частности решений для ликвидности криптовалют. Это создаёт правдоподобный деловой контекст и усыпляет бдительность потенциальной жертвы.

Obsidian как инструмент взлома

После установления контакта атакующие просят цель использовать Obsidian, представляя его как корпоративную базу данных для доступа к общей панели управления. Жертве предоставляются данные для входа в облачное хранилище, контролируемое мошенниками. Как только пользователь открывает это хранилище в Obsidian и включает синхронизацию плагинов сообщества, заражённые плагины тихо запускают цепочку атаки.

Исследователи Elastic обнаружили ранее неизвестный троян удалённого доступа (RAT), который они назвали PHANTOMPULSE. Этот вредонос маскируется под легитимное программное обеспечение и даёт злоумышленникам полный контроль над устройством жертвы. Программа разработана с акцентом на скрытность, устойчивость и полный удалённый доступ.

Блокчейн как канал управления

Особенность PHANTOMPULSE заключается в использовании децентрализованного механизма управления через три разные блокчейн-сети. Вредоносная программа использует данные транзакций в блокчейне, привязанные к определённому кошельку, чтобы подключаться к атакующему и получать инструкции. Поскольку блокчейн-транзакции неизменяемы и публично доступны, вредонос всегда может найти свой канал управления без зависимости от централизованной инфраструктуры.

Использование трёх независимых блокчейнов добавляет избыточность: даже если обозреватель одной сети заблокирован или недоступен, две другие обеспечивают альтернативные пути подключения. Эта техника позволяет операторам вредоноса сохранять контроль независимо от блокировок отдельных сервисов.

Масштаб угрозы для криптоиндустрии

Пользователи криптовалют остаются привлекательной целью для мошенников, поскольку блокчейн-транзакции необратимы. По данным Chainalysis, в 2025 году через компрометацию индивидуальных криптокошельков было украдено 713 миллионов долларов. Elastic Security Labs удалось заблокировать эту конкретную атаку, но случай демонстрирует, что злоумышленники продолжают находить креативные способы получения доступа к устройствам.

Злоупотребление экосистемой плагинов Obsidian позволяет атакующим полностью обходить традиционные средства безопасности, полагаясь на предусмотренную функциональность приложения для выполнения произвольного кода. Компаниям из финансового и криптовалютного секторов рекомендуется проявлять особую осторожность при работе с незнакомыми контактами, которые предлагают использовать сторонние приложения для деловой коммуникации.