Un malware nunca antes documentado usó Obsidian y la blockchain de Ethereum para atacar al sector cripto y financiero
Elastic Security Labs identificó una amenaza que utiliza la app Obsidian como puerta de entrada a fondos de quien la usa. El ataque combina la ingeniería social en la red social LinkedIn y en Telegram, con un malware que no había sido documentado hasta ahora.
El ataque apunta específicamente a personas del sector financiero y cripto.
¿De qué trata este malware?
Los atacantes contactan a las víctimas por LinkedIn, presentándose como una firma de capital de riesgo. Conversación que luego migra hacia Telegram, donde se establece un grupo en común con los supuestos socios, o miembros del equipo, lo que da una “sensación” de credibilidad.
La conversación tiene por tema central servicios financieros y soluciones de liquidez en criptomonedas. Una vez generada la confianza, proceden a pedirle a la víctima que utilice la app de notas Obsidian, para acceder al “panel de gestión” compartido. Una vez hecho esto, se le proveen las credenciales para conectarse a una bóveda en la nube controlada por los atacantes. Una vez que se abre esta bóveda, se le pide activar la sincronización de plugins de la comunidad. En ese momento se ejecuta el ataque de manera silenciosa.
PhantomPulse
El malware mencionado se denominó PhantomPulse, que es un troyano de acceso remoto. Fue nombrado así por Elastic Security Labs. Este agente malicioso usa la blockchain de Ethereum para recibir instrucciones de comando y control, lo que dificulta su bloqueo, o detección. Además, emplea técnicas avanzadas de inyección de procesos para ocultarse dentro de software legítimo. Agregando que opera completamente en memoria, sin dejar rastros de archivos en el disco.
Lo llamativo es cómo aprovecha el ecosistema de Obsidian, además de utilizar la blockchain para recibir instrucciones. Se considera una manera de funcionar innovadora y peligrosa. Ya que accede al dispositivo de la persona afectada, de manera remota, es difícil de detectar y rastrear.
No obstante los investigadores lograron contener la amenaza, antes de que logre sus objetivos.
Conclusión
Este caso muestra que los actos maliciosos ya no solo se trata de explotar las vulnerabilidades técnicas: el objetivo también se centra en explotar la confianza del factor humano, justo a las herramientas que se utilizan cotidianamente. Sin olvidar que el sector financiero y cripto son de los más afectados en este último tiempo.
¿Alguna vez se estará completamente a salvo de la ingeniería social?