Uma campanha inédita de engenharia social foi identificada abusando do Obsidian, aplicativo multiplataforma de anotações, como vetor inicial de acesso para distribuir um trojan de acesso remoto para Windows, até então não documentado, chamado PHANTOMPULSE, em ataques contra pessoas dos setores financeiro e de criptomoedas.
Batizada de REF6598 pela Elastic Security Labs, a atividade faz uso de táticas elaboradas de engenharia social por meio do LinkedIn e do Telegram para invadir sistemas Windows e macOS.
Os criminosos abordam as vítimas em potencial fingindo representar uma empresa de capital de risco e, em seguida, conduzem a conversa para um grupo no Telegram, onde supostos parceiros também participam.
O grupo no Telegram é montado para dar uma aparência de credibilidade à operação, com membros discutindo temas ligados a serviços financeiros e soluções de liquidez em criptomoedas.
Depois disso, a vítima é instruída a usar o Obsidian para acessar o que parece ser um painel compartilhado, conectando-se a um cofre hospedado na nuvem com as credenciais fornecidas.
É esse cofre que dispara a sequência de infecção.
Assim que o cofre é aberto no aplicativo de notas, a vítima recebe a orientação para ativar a sincronização de "plugins da comunidade instalados", o que, na prática, leva à execução de código malicioso.
"Os agentes de ameaça abusam do ecossistema legítimo de plugins da comunidade do Obsidian, especificamente dos plugins Shell Commands e Hider, para executar código silenciosamente quando a vítima abre um cofre compartilhado na nuvem", afirmaram os pesquisadores Salim Bitam, Samir Bousseaden e Daniel Stepanic em uma análise técnica da campanha.
Como essa opção vem desativada por padrão e não pode ser ativada remotamente, o invasor precisa convencer a vítima a habilitar manualmente a sincronização dos plugins da comunidade no próprio dispositivo para que a configuração maliciosa do cofre acione a execução de comandos por meio do plugin Shell Commands.
Em conjunto com ele, o plugin Hider também é usado para ocultar elementos da interface do Obsidian, como barra de status, barra de rolagem, dicas de interface e outros.
"Embora esse ataque dependa de engenharia social para cruzar a barreira da sincronização de plugins da comunidade, a técnica continua relevante: ela abusa de um recurso legítimo do aplicativo como canal de persistência e execução de comandos, o código malicioso vive inteiramente em arquivos de configuração JSON, que dificilmente acionam assinaturas tradicionais de antivírus, e a execução é repassada por uma aplicação Electron assinada e confiável, tornando a detecção baseada no processo pai a camada crítica", disseram os pesquisadores.
Caminhos específicos de execução são ativados de acordo com o sistema operacional.
No Windows, os comandos são usados para acionar um script PowerShell que solta um carregador intermediário, codinome PHANTOMPULL, capaz de descriptografar e carregar o PHANTOMPULSE diretamente na memória.
O PHANTOMPULSE é um backdoor gerado por inteligência artificial que usa a blockchain Ethereum para resolver o servidor de comando e controle, ou C2, ao buscar a transação mais recente associada a um endereço de carteira fixo.
Depois de obter o endereço do C2, o malware usa WinHTTP para comunicação, o que permite enviar telemetria do sistema, receber comandos e transmitir os resultados da execução, enviar arquivos ou capturas de tela e registrar teclas digitadas.
Os comandos suportados foram projetados para facilitar acesso remoto completo:
inject, para injetar shellcode, DLL ou EXE em um processo-alvo
drop, para gravar um arquivo no disco e executá-lo
screenshot, para capturar e enviar uma captura de tela
keylog, para iniciar ou interromper um registrador de teclas
uninstall, para remover a persistência e realizar a limpeza
elevate, para elevar privilégios para SYSTEM via COM elevation moniker
downgrade, para reverter de SYSTEM para administrador elevado
No macOS, o plugin Shell Commands entrega um dropper em AppleScript ofuscado, que percorre uma lista fixa de domínios e usa o Telegram como resolvedor dead drop para fallback na resolução do C2.
Essa abordagem também amplia a flexibilidade da operação, já que facilita a troca da infraestrutura de C2, tornando insuficiente o bloqueio baseado apenas em domínios.
Na etapa final, o script dropper contata o domínio do C2 para baixar e executar um payload de segunda etapa por meio do osascript.
A natureza exata desse payload ainda é desconhecida, já que os servidores de C2 estão fora do ar.
A intrusão terminou sem sucesso, pois o ataque foi detectado e bloqueado antes que o invasor conseguisse atingir seus objetivos na máquina comprometida.
"O REF6598 demonstra como os agentes de ameaça continuam encontrando vetores criativos de acesso inicial ao abusar de aplicativos confiáveis e empregar engenharia social direcionada", afirmou a Elastic.
"Ao explorar o ecossistema de plugins da comunidade do Obsidian em vez de uma vulnerabilidade de software, os atacantes contornam totalmente os controles tradicionais de segurança e dependem da funcionalidade prevista do aplicativo para executar código arbitrário."
Publicidade
Nossa audiência é formada por analistas, pentesters, decisores e entusiastas que consomem nossas notícias todo dia pelo Site, Newsletter e Instagram. Fale com quem realmente importa para o seu negócio. Anuncie aqui. Saiba mais...