Elastic Security Labs发现针对加密货币用户的攻击活动,通过Obsidian插件实施
Elastic Security Labs称,攻击者在LinkedIn和Telegram上实施社交工程,并借助恶意Obsidian配置,向加密货币和金融专业人士投放隐蔽恶意软件。
ETH
事实核查
该说法与经核实的文章《新型恶意软件骗局通过 Obsidian 笔记应用瞄准加密货币用户》高度一致。该文明确称,Elastic Security Labs 描述了攻击者如何利用 LinkedIn 和 Telegram 上的社会工程手段,以及恶意的 Obsidian 配置,来针对加密货币和金融专业人士。 这与用户的表述高度吻合。进一步佐证来自检索到的 Elastic 来源标题《金库中的幽灵:Obsidian 被滥用以投递 PhantomPulse RAT》,以及追踪到的 Elastic Security Labs 在 X 上的帖子 URL,这两者都表明 Elastic 是该报道的源头。置信度为中等而非高,因为此次运行中未能直接抓取 Elastic 报告和 X 帖子,因此无法根据页面内容对一手来源进行独立验证。
摘要
Elastic Security Labs于4月15日披露了一场针对金融和加密货币行业从业者的社交工程攻击活动。攻击者在LinkedIn和Telegram上冒充风险投资公司,诱使目标打开一个恶意Obsidian vault。报告称,此次攻击活动滥用了Obsidian的Shell Commands插件,在未利用软件漏洞的情况下执行载荷。Elastic Security Labs表示,此次行动部署了此前未被记录的Windows远程访问木马PHANTOMPULSE,该恶意软件还使用以太坊交易数据作为基于区块链的命令与控制通道。报告称,该恶意软件具有隐蔽性,此次攻击活动专门针对加密货币和金融专业人士。
术语与概念
- PHANTOMPULSE: Elastic Security Labs在此次攻击活动中识别出的一种此前未被记录的Windows远程访问木马。
- Shell Commands plugin: Obsidian的一款可运行系统命令的插件;在本案中,它被滥用于在不利用漏洞的情况下启动恶意载荷。
- Ethereum transaction data: 嵌入以太坊区块链交易中的数据,该恶意软件将其用作命令与控制通信通道。