17.04.2026
1 хв
199
Дослідники зафіксували нову кібератаку, у якій зловмисники використовують популярний застосунок для нотаток Obsidian як точку входу для зараження систем. Кампанія спрямована на користувачів із фінансового та криптовалютного секторів і дозволяє розгортати раніше невідомий троян віддаленого доступу.
Дослідники зафіксували нову кампанію соціальної інженерії, у якій зловмисники використовують застосунок для нотаток Obsidian як точку входу для атак. Цілью стають фахівці з фінансового та криптовалютного секторів, а кінцевим результатом є розгортання раніше невідомого трояна віддаленого доступу для Windows під назвою PHANTOMPULSE.
За даними Elastic Security Labs, активність отримала позначення REF6598. Вона базується не на технічних уразливостях, а на довірі користувачів і грамотній соціальній інженерії. Спочатку жертву знаходять у LinkedIn, де з нею зв’язуються від імені нібито венчурної компанії. Після короткого спілкування діалог переносять у Telegram, де створюється груповий чат із кількома «учасниками», які підтримують розмову на теми фінансів і криптовалютної ліквідності.
Такий чат виглядає правдоподібно і поступово формує довіру. Далі людині пропонують працювати з Obsidian, підключившись до спільного сховища через надані облікові дані. Саме цей момент стає ключовим для атаки.
Коли жертва відкриває це сховище, її просять увімкнути синхронізацію встановлених плагінів спільноти. Після цього фактично запускається виконання шкідливого коду. Як пояснюють дослідники, зловмисники використовують легітимні плагіни Obsidian, зокрема Shell Commands і Hider.
Перший дозволяє виконувати системні команди, а другий приховує елементи інтерфейсу, щоб користувач не помітив підозрілу активність. Важливо, що ця функція за замовчуванням вимкнена, тому атакуючі змушені переконати жертву вручну її активувати.
Дослідники підкреслюють, що вся шкідлива логіка зберігається у конфігураційних JSON-файлах. Це означає, що класичні антивірусні сигнатури можуть не спрацювати. До того ж виконання відбувається через легітимний застосунок на базі Electron, що ще більше ускладнює виявлення.
Подальший сценарій залежить від операційної системи. У Windows запускається PowerShell-скрипт, який доставляє проміжний завантажувач PHANTOMPULL. Він розшифровує та запускає PHANTOMPULSE безпосередньо в пам’яті.
Сам PHANTOMPULSE працює як бекдор і використовує блокчейн Ethereum для визначення адреси свого командного сервера. Замість класичних методів він отримує потрібну інформацію через останню транзакцію, пов’язану з жорстко закодованим криптогаманцем. Після цього встановлюється зв’язок через WinHTTP.
Функціональність трояна доволі широка. Він може:
виконувати команди на пристрої
завантажувати та запускати файли
робити скріншоти
записувати натискання клавіш
підвищувати привілеї до рівня SYSTEM через монікер підвищення прав COM
видаляти сліди своєї присутності
На macOS схема інша, але логіка зберігається. Там використовується обфускований AppleScript-дроппер, який перебирає список доменів і використовує Telegram як резервний спосіб визначення C2. Це дає змогу швидко змінювати інфраструктуру і ускладнює блокування за доменами.
На фінальному етапі скрипт завантажує другий етап шкідливого ПЗ через osascript. Точний характер цього payload наразі невідомий, оскільки сервери керування вже недоступні.
У підсумку атака не досягла своєї мети. Її виявили та заблокували до того, як зловмисники змогли повністю закріпитися в системі.
У Elastic зазначають, що цей випадок добре показує нову тенденцію. Замість пошуку вразливостей атакуючі все частіше використовують функціональність легітимних програм. У цьому випадку вони просто обійшли класичні механізми захисту, змусивши користувача самостійно виконати всі необхідні дії.
