Yeni Sosyal Mühendislik Yöntemi: Obsidian Uygulaması Aracılığıyla Kripto Dolandırıcılığı

Yeni bir sosyal mühendislik taktiği, kripto para ve finans profesyonellerini hedef alarak Obsidian not alma uygulamasını kötü amaçlı yazılım yaymak için kullanıyor. Elastic Security Labs tarafından yapılan araştırmaya göre, dolandırıcılar, LinkedIn ve Telegram gibi platformlarda 'sahte' girişim sermayesi temsilcileri gibi davranarak güven oluşturuyorlar. Bu sahte profiller aracılığıyla, hedefleri Obsidian'da barındırılan bir şirket veritabanına veya panoya erişmeye ikna ediyorlar.

Hedefler, paylaşılan Obsidian bulut kasasına erişim sağladıktan sonra, topluluk eklentilerinin senkronizasyonunu etkinleştirmeye yönlendiriliyor. Bu işlem, Windows ve macOS sistemlerde farklılık gösterse de, her iki durumda da PHANTOMPULSE adlı daha önce bilinmeyen bir uzaktan erişim truva atının (RAT) gizlice kurulmasına yol açıyor. Bu kötü amaçlı yazılım, saldırganlara cihaz üzerinde tam kontrol sağlayarak tespit edilmekten kaçınıyor.

PHANTOMPULSE, komut ve kontrol (C2) sistemini üç farklı blok zinciri ağı üzerinden sağlıyor. Blok zinciri işlemlerinin değiştirilemez ve kamuya açık olması nedeniyle, kötü amaçlı yazılım, merkezi bir sunucuya ihtiyaç duymadan komutları alabiliyor. Birden fazla zincir kullanmak, saldırının bir blok zinciri gezgini kısıtlanmış olsa bile devam etmesini sağlıyor. Elastic, bu yöntemle bilgisayar korsanlarının Obsidian'ın normal işlevselliğini kötüye kullanarak geleneksel güvenlik önlemlerini atladığını belirtti. Özellikle yüksek riskli finans sektöründe faaliyet gösteren kuruluşların, meşru üretkenlik araçlarının kötüye kullanılmasını önlemek için sıkı eklenti politikaları uygulamaları öneriliyor.