Investigadores de ciberseguridad han identificado una campaña de ingeniería social denominada REF6598 que utiliza la aplicación de notas Obsidian para distribuir un troyano de acceso remoto (RAT) inédito llamado PHANTOMPULSE. La campaña apunta específicamente a profesionales de los sectores financiero y criptográfico en Windows y macOS. Los atacantes se hacen pasar por inversionistas de riesgo en LinkedIn y Telegram para ganar la confianza de sus víctimas antes de invitarlas a colaborar en un almacén compartido de Obsidian. La infección se activa cuando el usuario habilita manualmente plugins comunitarios maliciosos ('Shell Commands' y 'Hider') presentes en el almacén. PHANTOMPULSE utiliza la blockchain de Ethereum para resolver dinámicamente su servidor de comando y control, lo que hace que la infraestructura sea altamente resilente a intervenciones de derribo. El malware puede capturar pulsaciones de teclado, tomar capturas de pantalla, exfiltrar archivos y ejecutar comandos arbitrarios, permitiendo el robo de datos corporativos sensibles, estrategias comerciales y, fundamentalmente, claves de billeteras de criptomonedas y credenciales de exchange.
Cibercriminales usan Obsidian para distribuir el nuevo malware PHANTOMPULSE contra inversores
