Elastic的网络安全研究人员发现了一种名为“金库幽灵”的复杂恶意软件活动,该活动通过利用可信软件而非传统漏洞,针对加密专业人士。
据报道,攻击者通过社交工程发起该活动,冒充风险投资公司或项目合作伙伴,在LinkedIn和Telegram等平台上使用。
受害者随后被邀请使用Obsidian——一种广泛使用的笔记和知识管理工具——访问共享工作区。
该攻击利用了Obsidian的插件生态系统,特别是shell命令执行等功能,来传递恶意负载。
通过在共享“保险库”中嵌入有害配置,攻击者可以在受害者的机器上执行代码而不触发传统安全警报。
由于应用本身是合法的,恶意活动通常绕过了传统的杀毒软件防御。
一旦执行,恶意软件会部署一种名为PhantomPulse的远程访问木马(RAT)。该工具使攻击者能够完全控制被感染的系统,包括捕捉键盘击打、访问文件和截图。这种访问水平存在重大风险,尤其对处理敏感金融数据或加密资产的个人而言。
该运动的一个显著特点是其在指挥与控制操作中使用区块链技术。
该恶意软件通过嵌入以太坊交易的数据获取指令,使安全团队更难检测或破坏基础设施。
研究人员还注意到恶意软件代码结构中存在AI辅助开发的迹象,表明攻击者正日益利用先进工具来扩展和优化其行动。
研究结果凸显了针对加密领域的网络威胁日益增长的趋势,攻击者依赖欺骗和可信平台,而非利用软件缺陷。
专家警告说,随着这些策略的发展,用户必须保持警惕,核实所有外部合作,以避免被妥协。
