Hacker sử dụng plugin Obsidian để phát động Trojan PHANTOMPULSE

Odaily đưa tin, theo tiết lộ từ Elastic Security Labs, các tác nhân đe dọa đã mạo danh một công ty đầu tư mạo hiểm, thông qua LinkedIn và Telegram để dụ dỗ mục tiêu mở kho ghi chú Obsidian chứa mã độc. Cuộc tấn công này lợi dụng plugin Shell Commands của Obsidian, cho phép thực thi tải trọng độc hại mà không cần khai thác lỗ hổng khi nạn nhân mở kho ghi chú.

PHANTOMPULSE được phát hiện trong cuộc tấn công là một Trojan Truy cập Từ xa (RAT) trên Windows chưa từng được ghi nhận trước đây, sử dụng dữ liệu giao dịch Ethereum để thực hiện giao tiếp C2 (Command and Control) dựa trên blockchain. Tải trọng phía macOS sử dụng bộ phân phối AppleScript đã được làm rối, và sử dụng kênh Telegram làm C2 dự phòng. Elastic Defend đã kịp thời phát hiện và ngăn chặn cuộc tấn công này trước khi PHANTOMPULSE được thực thi.