新しいソーシャルエンジニアリングの手法が、Obsidianノート-takingアプリを利用して、暗号通貨や金融の専門家を標的としたステルス型マルウェアを展開しています。概要* 詐欺師はLinkedInとTelegramを使用して、暗号通貨の専門家に悪意のあるObsidianプラグインをダウンロードさせ、リモートアクセス型トロイの木馬を展開しています。* Elastic Security Labsは、未公開のPHANTOMPULSEマルウェアが3つの異なるブロックチェーンネットワークを利用してコマンドを受信し、持続性を維持していることを発見しました。* セキュリティ研究者は、金融企業に対して正当な生産性向上ツールが悪用されるのを防ぐために、厳格なアプリケーションレベルのプラグインポリシーを実施することを推奨しています。Elastic Security Labsは火曜日に、攻撃者が「LinkedInとTelegram上で巧妙なソーシャルエンジニアリングを行い」、従来のセキュリティを回避してコミュニティ開発のプラグイン内に悪意のあるコードを隠す手口について詳細なレポートを公開しました。このキャンペーンは特にデジタル資産分野の個人を標的とし、ブロックチェーン取引の恒久性を利用しています。この脆弱性は特に深刻で、Chainalysisのデータによると、2025年にはウォレットの侵害による盗難資金が$713 百万ドルに上っています。侵入は、詐欺師がLinkedIn上でベンチャーキャピタルの代表を装い、プロフェッショナルなネットワーキングを開始することから始まります。これらの会話は最終的にTelegramに移行し、攻撃者は暗号通貨の流動性ソリューションについて議論し、「信頼できるビジネスの文脈」を構築します。信頼関係が築かれると、ターゲットは共有されたObsidianクラウドボールト上にホストされているとされる企業のデータベースやダッシュボードにアクセスするよう誘導されます。# ブロックチェーンによる分散制御このボールトの開放が最初のアクセス手段となります。被害者はコミュニティプラグインの同期を有効にするよう指示され、これによりトロイの木馬化されたソフトウェアが静かに実行されます。WindowsとmacOSでは技術的な実行方法に若干の違いがありますが、いずれの場合も、以前は知られていなかったリモートアクセス型トロイの木馬(RAT)であるPHANTOMPULSEのインストールに至ります。このマルウェアは、感染したデバイスに対して攻撃者が完全な制御を握ることを目的としつつ、検出を避けるために低いプロファイルを維持するよう設計されています。PHANTOMPULSEは、3つの異なるブロックチェーンネットワークにまたがる分散型のコマンド&コントロール(C2)システムを通じて攻撃者と接続を維持します。特定のウォレットに紐づくオンチェーンの取引データを利用することで、マルウェアは中央サーバーを介さずに指示を受け取ることが可能です。“ブロックチェーン取引は不変で公開されているため、マルウェアは常に中央集権的なインフラに頼ることなくC2を特定できる”とElasticは指摘しています。複数のチェーンを使用することで、一つのブロックチェーンエクスプローラーが制限された場合でも攻撃は耐性を保ち続けます。この方法により、運用者はインフラをシームレスに回転させることができ、マルウェアとその出所とのリンクを断ち切るのが難しくなります。Elasticは、Obsidianの本来の機能を悪用することで、ハッカーが「従来のセキュリティコントロールを完全に回避」したと警告しています。同社は、高リスクの金融セクターで活動する組織に対して、プラグインに対する厳格なアプリケーションレベルのポリシーを実施し、正当な生産性向上ツールが盗難の入口として悪用されるのを防ぐことを提案しています。
新しいマルウェア詐欺がObsidianノートアプリを通じて暗号通貨ユーザーを標的にしています
新しいソーシャルエンジニアリングの手法が、Obsidianノート-takingアプリを利用して、暗号通貨や金融の専門家を標的としたステルス型マルウェアを展開しています。
概要
Elastic Security Labsは火曜日に、攻撃者が「LinkedInとTelegram上で巧妙なソーシャルエンジニアリングを行い」、従来のセキュリティを回避してコミュニティ開発のプラグイン内に悪意のあるコードを隠す手口について詳細なレポートを公開しました。
このキャンペーンは特にデジタル資産分野の個人を標的とし、ブロックチェーン取引の恒久性を利用しています。この脆弱性は特に深刻で、Chainalysisのデータによると、2025年にはウォレットの侵害による盗難資金が$713 百万ドルに上っています。
侵入は、詐欺師がLinkedIn上でベンチャーキャピタルの代表を装い、プロフェッショナルなネットワーキングを開始することから始まります。これらの会話は最終的にTelegramに移行し、攻撃者は暗号通貨の流動性ソリューションについて議論し、「信頼できるビジネスの文脈」を構築します。
信頼関係が築かれると、ターゲットは共有されたObsidianクラウドボールト上にホストされているとされる企業のデータベースやダッシュボードにアクセスするよう誘導されます。
ブロックチェーンによる分散制御
このボールトの開放が最初のアクセス手段となります。被害者はコミュニティプラグインの同期を有効にするよう指示され、これによりトロイの木馬化されたソフトウェアが静かに実行されます。
WindowsとmacOSでは技術的な実行方法に若干の違いがありますが、いずれの場合も、以前は知られていなかったリモートアクセス型トロイの木馬(RAT)であるPHANTOMPULSEのインストールに至ります。
このマルウェアは、感染したデバイスに対して攻撃者が完全な制御を握ることを目的としつつ、検出を避けるために低いプロファイルを維持するよう設計されています。
PHANTOMPULSEは、3つの異なるブロックチェーンネットワークにまたがる分散型のコマンド&コントロール(C2)システムを通じて攻撃者と接続を維持します。
特定のウォレットに紐づくオンチェーンの取引データを利用することで、マルウェアは中央サーバーを介さずに指示を受け取ることが可能です。
“ブロックチェーン取引は不変で公開されているため、マルウェアは常に中央集権的なインフラに頼ることなくC2を特定できる”とElasticは指摘しています。
複数のチェーンを使用することで、一つのブロックチェーンエクスプローラーが制限された場合でも攻撃は耐性を保ち続けます。この方法により、運用者はインフラをシームレスに回転させることができ、マルウェアとその出所とのリンクを断ち切るのが難しくなります。
Elasticは、Obsidianの本来の機能を悪用することで、ハッカーが「従来のセキュリティコントロールを完全に回避」したと警告しています。
同社は、高リスクの金融セクターで活動する組織に対して、プラグインに対する厳格なアプリケーションレベルのポリシーを実施し、正当な生産性向上ツールが盗難の入口として悪用されるのを防ぐことを提案しています。