佳佳币资讯站新型社会工程攻击手段:利用笔记软件传播隐蔽恶意软件
近期,一种新型社会工程攻击手段被披露,该手段利用Obsidian笔记应用程序向加密货币和金融专业人士传播隐蔽的恶意软件。
攻击手法剖析
攻击者利用LinkedIn和Telegram平台,诱使加密货币从业者下载恶意Obsidian插件,这些插件会部署远程访问木马。安全团队发现,一种名为PHANTOMPULSE的恶意软件,通过三种不同的区块链网络接收指令,并保持持续的访问权限。
攻击技术揭秘
攻击者通过LinkedIn和Telegram上的复杂社会工程手段,将恶意代码隐藏在社区开发的插件中,绕过传统安全防护。该攻击活动专门针对数字资产领域的从业人员,利用区块链交易的不可篡改性进行攻击。数据显示,2025年,钱包盗取漏洞已导致7.13亿美元的损失。
攻击者首先在LinkedIn上伪装成风险投资代表建立专业联系,然后将对话转移到Telegram,通过讨论加密货币流动性方案来构建一个看似合理的业务场景。在建立信任后,目标用户会被邀请访问所谓的存储在共享Obsidian云库中的公司数据库或仪表板。
基于区块链的分布式控制
访问云库成为初始攻击入口,受害者被引导启用社区插件同步功能,从而触发木马化软件的静默执行。尽管Windows和macOS系统的技术实现略有不同,但最终都会安装名为PHANTOMPULSE的新型远程访问木马。
该恶意软件使攻击者能够完全控制受感染设备,同时保持低调以避免检测。PHANTOMPULSE通过跨越三个区块链网络的去中心化命令与控制(C2)系统与攻击者保持连接,通过读取特定钱包的链上交易数据接收指令,无需依赖中心化服务器。
安全建议
由于区块链交易具有不可变性和公开可访问性,恶意软件可以不依赖中心化基础设施持续定位其C2服务器。使用多条区块链网络确保即使某个区块链浏览器受限,攻击仍能持续运作。这种架构允许攻击者无缝切换基础设施,使防御者难以切断恶意软件与其控制源的连接。
通过滥用Obsidian的预设功能,攻击者得以完全规避传统安全控制。安全研究人员建议高风险金融领域机构应实施严格的应用程序级插件管理策略,防止合法的生产力工具被改造为数据窃取的入口点。