แฮกเกอร์ใช้ปลั๊กอิน Obsidian ในการโจมตีมัลแวร์ PHANTOMPULSE

Odaily รายงาน ตามที่ Elastic Security Labs เปิดเผย ผู้คุกคามแอบอ้างเป็นบริษัทลงทุนเสี่ยง (VC) ผ่าน LinkedIn และ Telegram เพื่อหลอกล่อเป้าหมายให้เปิดคลังโน้ต Obsidian ที่บรรจุโค้ดที่เป็นอันตราย การโจมตีครั้งนี้ใช้ปลั๊กอิน Shell Commands ของ Obsidian ซึ่งสามารถดำเนินการโหลดที่เป็นอันตรายได้โดยไม่ต้องใช้ช่องโหว่เมื่อเหยื่อเปิดคลังโน้ต

PHANTOMPULSE ที่ค้นพบในการโจมตีนี้เป็นมัลแวร์ควบคุมระยะไกล (RAT) บน Windows ที่ไม่เคยถูกบันทึกมาก่อน ซึ่งใช้ข้อมูลธุรกรรม Ethereum เพื่อสื่อสาร C2 ผ่านบล็อกเชน ส่วนโหลดบนฝั่ง macOS ใช้ตัวส่ง AppleScript ที่ถูกทำให้เข้าใจยาก และใช้ช่องทาง Telegram เป็น C2 สำรอง Elastic Defend สามารถตรวจจับและหยุดการโจมตีนี้ได้ทันก่อนที่ PHANTOMPULSE จะถูกดำเนินการ