BlockBeats 消息,4 月 15 日,安全研究机构 **Elastic Security Labs** 披露一起针对**金融及加密货币行业**从业人员的新型社会工程攻击。
攻击者在 **LinkedIn** 和 **Telegram** 上假冒为**风险投资机构**,通过精心包装的内容与“投资合作”话术引导目标点击并打开带有诱导性的资源链接。随后,受害者会被引导打开一个 **Obsidian 笔记库**,该笔记库内置恶意载荷,从而进一步触发攻击链条,部署一款此前**从未被公开记录**的 **Windows 远控木马 PHANTOMPULSE**。
—
## 关键特点:不靠漏洞,靠功能滥用
这起攻击并不依赖任何软件漏洞,而是利用了 **Obsidian** 的能力。
– **Windows 攻击路径**:滥用 Obsidian 的 **Shell Commands** 插件,在笔记库打开时自动执行恶意代码。
– **macOS 备用方案**:使用**混淆的 AppleScript 投放器**,并结合 **Telegram 频道**作为备用指令控制服务器。
– **C2 构建机制**:Windows 端进一步借助**以太坊交易数据**来实现区块链化的 C2 地址解析,提升追踪难度与灵活性。
—
总的来看,该活动体现出攻击者将社工投递与跨平台执行手段深度融合的能力:从“社交平台伪装”到“笔记打开即执行”,再到“区块链与 Telegram 进行指令与通信”,形成了一条连贯且隐蔽的攻击链。
原创文章,作者:admin,如若转载,请注明出处:https://www.23btc.com/171133/
