Attacchi mirati nel settore finanziario attraverso il plugin Obsidian Un nuovo tipo di attacco informatico ha attirato l’attenzione degli esperti di sicurezza: un malware di tipo RAT (Remote Access Trojan) chiamato PHANTOMPULSE ha iniziato a circolare nel settore finanziario e…
Attacchi mirati nel settore finanziario attraverso il plugin Obsidian
Un nuovo tipo di attacco informatico ha attirato l’attenzione degli esperti di sicurezza: un malware di tipo RAT (Remote Access Trojan) chiamato PHANTOMPULSE ha iniziato a circolare nel settore finanziario e criptovalutario, sfruttando la vulnerabilità di Obsidian, un’applicazione di note-taking molto popolare. Gli attaccanti hanno adottato strategie di social engineering sofisticate per ottenere l’accesso ai sistemi delle vittime, utilizzando piattaforme come LinkedIn e Telegram per avvicinarsi a potenziali bersagli.
Tecniche di social engineering e manipolazione
Le operazioni di phishing legate a PHANTOMPULSE si sono rivelate particolarmente insidiose. Gli aggressori si presentano come membri di un’ipotetica società di venture capital per guadagnare la fiducia delle vittime. Dopo aver instaurato un contatto iniziale su LinkedIn, li invitano a unirsi a un gruppo Telegram, dove si discute di soluzioni di liquidità finanziaria e criptovalutaria. Qui, la comunità assemblea appare legittima, ma in realtà serve a facilitare l’installazione del malware.
L’approccio degli aggressori è strategico: una volta che la vittima accede a un “vault” condiviso tramite Obsidian, viene invitata a attivare la sincronizzazione dei plugin della comunità. Questo passaggio attiva una sequenza di infezione al termine della quale il malware viene installato silenziosamente sul sistema della vittima.
L’uso ingannevole delle funzionalità dell’app
Gli esperti di sicurezza hanno evidenziato come gli attaccanti sfruttino i plugin legittimi di Obsidian, come Shell Commands e Hider. Questi consentono di eseguire codice malevolo senza che la vittima ne sia consapevole. Per di più, il fatto che la funzionalità di sincronizzazione dei plugin sia disattivata di default richiede ai malintenzionati di convincere le vittime a modificarne manualmente le impostazioni.
Le conseguenze di tale attacco possono essere devastanti, soprattutto per le aziende italiane operanti nei settori finanziari e delle criptovalute, in cui la protezione dei dati è cruciale. Nel momento in cui il vault viene aperto e la sincronizzazione è attivata, il malware ha libero accesso al sistema, consentendo il lancio di comandi malevoli.
Funzionalità del malware PHANTOMPULSE
Il malware PHANTOMPULSE non è un semplice backdoor; utilizza addirittura l’Ethereum blockchain per stabilire comunicazioni con i server C2 (command and control). Ciò implica che le operazioni di invio e ricezione dati avvengono tramite transazioni su blockchain, complicando di fatto l’individuazione da parte delle difese tradizionali.
Tra le funzioni che il malware è in grado di eseguire ci sono la cattura di screenshot, il keystroke logging e l’iniezione di codice nel processo target, tutto ciò con l’obiettivo di rubare informazioni sensibili. Tali caratteristiche sottolineano quanto sia importante che imprese e professionisti del settore si dotino di adeguate misure di sicurezza per proteggere le proprie infrastrutture.
Conclusione
L’attacco che sfrutta Obsidian è un esempio lampante di come i cybercriminali stiano diventando sempre più sofisticati, utilizzando canali legittimi per infiltrarsi nei sistemi di individui e aziende. È cruciale che le organizzazioni italiane adottino un approccio proattivo nella gestione della sicurezza delle informazioni. Formazione dei dipendenti, aggiornamenti di sicurezza e l’implementazione di soluzioni di monitoraggio sono passi fondamentali per fronteggiare minacce sempre più sofisticate. Per combattere efficacemente queste campagne di attacco, è fondamentale rimanere informati e vigili.
