Plugin Obsidian bị lợi dụng để phát tán mã độc PHANTOMPULSE RAT nhắm vào lĩnh vực tài chính

Plugin Obsidian bị lợi dụng để phát tán mã độc PHANTOMPULSE RAT nhắm vào lĩnh vực tài chính

Các nhà nghiên cứu bảo mật đã xác định một chiến dịch kỹ thuật xã hội có chủ đích cao (mã hiệu REF6598), trong đó ứng dụng ghi chú Obsidian bị vũ khí hóa để phát tán một loại Trojan truy cập từ xa (RAT) chưa được tài liệu hóa trước đây tên là PHANTOMPULSE. Chiến dịch này nhắm mục tiêu vào các cá nhân làm việc trong lĩnh vực tài chính và tiền điện tử trên cả nền tảng Windows và macOS.

Kẻ tấn công sử dụng các nền tảng như LinkedIn và Telegram để xây dựng lòng tin trước khi dụ dỗ nạn nhân vào một kho lưu trữ Obsidian (vault) chia sẻ chứa mã độc. Chuỗi tấn công dựa vào việc lừa người dùng bật tính năng đồng bộ hóa "community plugin" (plugin cộng đồng), từ đó thực thi mã để cài đặt RAT. Đáng chú ý, PHANTOMPULSE thể hiện khả năng kỹ thuật cao, bao gồm việc sử dụng blockchain Ethereum để giải động địa chỉ máy chủ điều khiển (C2), giúp nó chống chịu rất tốt trước các nỗ lực vô hiệu hóa.

Chiến dịch kỹ thuật xã hội đa giai đoạn

Cuộc tấn công, được định danh là REF6598, là một nỗ lực kỹ thuật xã hội đa giai đoạn. Các tác nhân đe dọa giả danh là nhà đầu tư mạo hiểm (venture capitalists) và tiếp cận các mục tiêu trên các trang mạng chuyên nghiệp trước khi chuyển cuộc trò chuyện sang một nhóm Telegram riêng tư.

Mồi câu chính là lời mời hợp tác thông qua một kho lưu trữ Obsidian được lưu trữ trên đám mây và được chia sẻ công khai. Khi nạn nhân mở kho lưu trữ chia sẻ này, quá trình nhiễm mã độc sẽ được kích hoạt bởi các thủ đoạn xã hội tinh vi.

Cơ chế kích hoạt mã độc

Nạn nhân sẽ được nhắc bật tính năng đồng bộ hóa cho "Installed community plugins" (Các plugin cộng đồng đã cài đặt). Hành động có vẻ vô hại này — yêu cầu sự phê duyệt thủ công từ người dùng — chính là chìa khóa dẫn đến việc bị xâm nhập.

Nó cho phép các phiên bản độc hại của các plugin Obsidian hợp pháp ('Shell Commands' và 'Hider') hiện có trong kho lưu trữ chia sẻ được kích hoạt. Chuỗi tấn công có chút khác biệt giữa Windows và macOS nhưng tuân theo cùng một nguyên tắc chung: lợi dụng tính năng hợp pháp của phần mềm để thực thi mã trái phép.

Khả năng của PHANTOMPULSE RAT

Sau khi được kích hoạt, PHANTOMPULSE có thể ghi lại thao tác bàn phím (keylogging), chụp ảnh màn hình, đánh cắp tệp tin và thực thi các lệnh tùy ý. Một cuộc tấn công thành công sẽ cho kẻ tấn công quyền truy cập hoàn toàn vào máy của nạn nhân.

Đối với các chuyên gia trong lĩnh vực tài chính và tiền điện tử, điều này có thể dẫn đến việc đánh cắp dữ liệu doanh nghiệp nhạy cảm, sở hữu trí tuệ, chiến lược giao dịch và quan trọng nhất là khóa ví tiền điện tử cùng thông tin đăng nhập sàn giao dịch. Tính chất đa nền tảng của cuộc tấn công làm mở rộng phạm vi nạn nhân tiềm năng.

Cơ sở hạ tầng dựa trên Blockchain

Việc sử dụng máy chủ C2 dựa trên blockchain thể hiện mức độ tinh vi cao, khiến cơ sở hạ tầng đe dọa trở nên khó bị phá vỡ. Bằng cách sử dụng blockchain Ethereum để phân giải địa chỉ C2, kẻ tấn công có thể dễ dàng thay đổi điểm kết nối mà không cần thay đổi mã độc, giúp né tránh các biện pháp chặn truyền thống.

Giải pháp phòng chống

Để bảo vệ trước vector tấn công này, việc đào tạo người dùng nhận biết các chiến thuật kỹ thuật xã hội và cảnh giác với các yêu cầu hợp tác không mong muốn là biện pháp phòng thủ chủ yếu.

Ngoài ra, các chuyên gia khuyến cáo:

• Sử dụng kiểm soát ứng dụng để ngăn các ứng dụng như Obsidian thực thi các tập lệnh (ví dụ: PowerShell).
• Cấu hình ứng dụng để vô hiệu hóa hoặc yêu cầu sự phê duyệt nghiêm ngặt khi cài đặt plugin bên thứ ba nhằm giảm thiểu bề mặt tấn công.