Se ha observado una “novedosa” campaña de ingeniería social que abusa de Obsidian, una aplicación multiplataforma para tomar notas, como vector de llegada auténtico para distribuir un troyano de llegada remoto de Windows previamente indocumentado llamado PHANTOMPULSE en ataques dirigidos a individuos en los sectores financiero y de criptomonedas.
Apodado REF6598 Según Elastic Security Labs, se descubrió que la actividad aprovecha elaboradas tácticas de ingeniería social a través de LinkedIn y Telegram para violar los sistemas Windows y macOS, acercándose a personas potenciales en la red social profesional bajo la apariencia de una empresa de caudal de peligro y luego trasladando la conversación a un género de Telegram donde están presentes varios supuestos socios.
El chat grupal de Telegram está diseñado para darle a la operación una pizca de credibilidad, y los miembros discuten temas relacionados con servicios financieros y soluciones de solvencia de criptomonedas. Luego se le indica al objetivo que use Obsidian para consentir a lo que parece ser un panel compartido conectándose a una cúpula alojada en la nimbo utilizando las credenciales que se le proporcionaron.
Es esta cúpula la que desencadena la secuencia de infección. Tan pronto como se abre la cúpula en la aplicación para tomar notas, se solicita al objetivo que habilite la sincronización de “Complementos comunitarios instalados”, lo que provoca efectivamente la ejecución de código solapado.
“Los actores de amenazas abusan del ecosistema lícito de complementos comunitarios de Obsidian, específicamente los complementos Shell Commands y Hider, para ejecutar código silenciosamente cuando una víctima abre una cúpula en la nimbo compartida”, dijeron los investigadores Salim Bitam, Samir Bousseaden y Daniel Stepanic en un desglose técnico de la campaña.
Transmitido que la opción está deshabilitada de forma predeterminada y no se puede activar de forma remota, el atacante debe convencer al objetivo de que active manualmente la sincronización del complemento comunitario en su dispositivo para que la configuración de la cúpula maliciosa pueda activar la ejecución de comandos a través del complemento Shell Commands. Asimismo se utiliza adjunto con Shell Commands otro complemento llamado Hider para ocultar ciertos instrumentos de la interfaz de legatario de Obsidian, como la mostrador de estado, la mostrador de desplazamiento, la información sobre herramientas y otros.
“Si adecuadamente este ataque requiere ingeniería social para cruzar el confín de sincronización de complementos de la comunidad, la técnica sigue siendo trascendente: abusa de una característica de aplicación legítima como canal de persistencia y ejecución de comandos, la carga útil reside completamente adentro de archivos de configuración JSON que probablemente no activen firmas AV (antivirus) tradicionales, y la ejecución se realiza mediante una aplicación Electron confiable y firmada, lo que hace que la detección basada en procesos principales sea la capa crítica”, dijeron los investigadores.
Las rutas de ejecución dedicadas se activan según el sistema operante. En Windows, los comandos se utilizan para invocar un script de PowerShell para colocar un cargador intermedio con nombre en código PHANTOMPULL que descifra e inicia PHANTOMPULSE en la memoria.
PHANTOMPULSE es una puerta trasera generada por inteligencia químico (IA) que utiliza la dependencia de bloques Ethereum para resolver su servidor de comando y control (C2) obteniendo la última transacción asociada con una dirección de billetera codificada. Al obtener la dirección C2, el malware utiliza WinHTTP para las comunicaciones, lo que le permite expedir datos de telemetría del sistema, inquirir comandos y transmitir los resultados de la ejecución, cargar archivos o capturas de pantalla y capturar pulsaciones de teclas.
Los comandos admitidos están diseñados para proporcionar el llegada remoto completo:
- inyectarpara inyectar shellcode/DLL/EXE en el proceso de destino
- migajapara colocar un archivo en el disco y ejecutarlo
- captura de pantallapara capturar y cargar una captura de pantalla
- registro de teclaspara iniciar/detener un registrador de teclas
- desinstalarpara iniciar la matanza de la persistencia y realizar la fregado
- elevarpara avanzar privilegios al SISTEMA a través del apodo de elevación COM
- degradarpara realizar la transición de SISTEMA a administrador elevado
En macOS, el complemento Shell Commands ofrece un cuentagotas AppleScript ofuscado que itera sobre una tira de dominios codificada, mientras emplea Telegram como un solucionador de caída para la resolución alternativa C2. Este enfoque igualmente ofrece viejo flexibilidad, ya que permite rotar fácilmente la infraestructura C2, lo que hace que el obstrucción basado en dominios sea insuficiente.
En el paso final, el script dropper se pone en contacto con el dominio C2 para descargar y ejecutar una carga útil de segunda etapa a través de osascript. Se desconoce la naturaleza exacta de esta carga útil, hexaedro que los servidores C2 están actualmente fuera de sarta. La intrusión finalmente no tuvo éxito, ya que el ataque fue detectado y bloqueado ayer de que el adversario pudiera ganar sus objetivos en la máquina infectada.
“REF6598 demuestra cómo los actores de amenazas continúan encontrando vectores de llegada auténtico creativos abusando de aplicaciones confiables y empleando ingeniería social dirigida”, dijo Elastic. “Al extralimitarse del ecosistema de complementos de la comunidad de Obsidian en puesto de explotar una vulnerabilidad del software, los atacantes eluden por completo los controles de seguridad tradicionales, confiando en la funcionalidad prevista de la aplicación para ejecutar código despótico”.
