一场针对金融和加密货币行业从业者的定向攻击,正利用笔记软件 Obsidian 作为武器。攻击者通过领英(LinkedIn)和电报(Telegram)进行社交工程,诱骗受害者打开一个恶意的共享笔记库,并说服他们启用社区插件。此举会在 Windows 和 macOS 系统上部署一个名为 PHANTOMPULSE 的新型远程访问木马。该木马能够窃取键盘记录、截图、文件和加密钱包密钥,并利用以太坊区块链动态获取指令,使其极难被发现和摧毁。
攻击方式与流程
攻击者首先在职业社交平台(如领英)上伪装成风险投资人等身份,与目标建立联系和信任。随后,他们会将沟通转移到私密的电报群组,并最终以“协作”为名,邀请受害者打开一个托管在云端的恶意 Obsidian 共享笔记库。
- 核心陷阱: 攻击成功的关键在于诱导用户手动操作。当受害者打开恶意笔记库后,系统会提示他们启用“同步已安装的社区插件”功能。
- 触发感染: 一旦用户同意,就会激活笔记库中包含的恶意版社区插件(伪装成合法的 'Shell Commands' 和 'Hider' 插件),从而执行恶意代码,植入木马。
这种攻击不依赖于软件漏洞,而是利用了应用程序的正常功能和用户的信任。用户被欺骗,亲手为攻击者打开了大门。
PHANTOMPULSE 木马的技术特点
一旦恶意插件被启用,它会根据不同操作系统执行相应的脚本,最终在内存中直接加载并运行 PHANTOMPULSE 木马,以规避传统的文件扫描检测。
主要功能:
- 键盘记录: 捕获用户输入的所有内容,包括密码和私钥。
- 屏幕截图: 秘密截取屏幕画面。
- 文件窃取: 搜索并盗取敏感文件。
- 远程命令: 允许攻击者在受感染的电脑上执行任意命令。
创新的指令控制 (C2) 机制: PHANTOMPULSE 最具威胁的特点是其 C2 通信方式。它会查询一个硬编码在程序中的以太坊钱包地址的最新交易记录。攻击者将 C2 服务器的 IP 地址隐藏在这些交易数据中。这种基于区块链的 C2 解析方式,使得其控制服务器可以动态改变,并且去中心化的特性使其极难被执法机构追踪和关闭。
潜在影响与风险
一旦攻击成功,攻击者将完全控制受害者的设备。对于金融和加密货币领域的专业人士而言,这意味着灾难性的后果。
- 数据泄露: 敏感的公司数据、知识产权和交易策略可能被盗。
- 资产损失: 最直接的威胁是加密货币钱包的私钥和交易所的登录凭证被盗,导致数字资产被瞬间转移。
- 影响范围广: 由于攻击同时针对 Windows 和 macOS 用户,且利用了广受欢迎的笔记软件,其潜在受害者范围非常广泛。
如何防范与应对
普通用户和安全团队都可以采取措施来抵御此类攻击。
- 谨慎对待社区插件: 在任何情况下都要极其谨慎地启用第三方或社区开发的插件。只从官方、受信任的渠道安装,并仔细检查其权限。
- 拒绝同步未知来源的插件: 当连接到一个来源不明或不受信任的 Obsidian 笔记库时,绝对不要启用插件同步功能。
- 加强流程监控: 对于企业安全团队,应配置端点检测与响应(EDR)规则,对 Obsidian 等应用产生异常子进程(如
powershell.exe,cmd.exe,osascript)的行为进行告警。这种行为是高度异常的。 - 用户安全教育: 对员工进行有针对性的安全培训,让他们了解利用协作工具和社交工程进行攻击的具体手段。