Elastic Security Labs heeft een nieuwe social engineering campagne blootgelegd waarbij de populaire note-taking applicatie Obsidian wordt misbruikt als toegangspoort. De campagne, geregistreerd als REF6598, richt zich op personen binnen de financiële en cryptocurrency sector via uitgekiende social engineering op LinkedIn en Telegram.

De aanvallers maken gebruik van het legitieme community plugin-ecosysteem van Obsidian, met name de Shell Commands plugin en de Hider plugin, om stilletjes kwaadaardige code uit te voeren zodra een slachtoffer een gedeelde cloud vault opent. Elastic Defend detecteerde en blokkeerde de aanval in een vroeg stadium, waardoor de aanvallers geen controle konden krijgen over het systeem van het slachtoffer.

De aanvalsketen is cross-platform en bevat specifieke uitvoeringspaden voor Windows en macOS. Op Windows wordt een tussenliggende loader gebruikt die payloads volledig in het geheugen laadt en ontsleutelt met AES-256-CBC, gebruikmakend van timer queue callbacks en diverse anti-analyse technieken. Dit leidt tot de inzet van een tot nu toe onbekende RAT, genaamd PHANTOMPULSE, een geavanceerde backdoor met AI-gegenereerde componenten, blockchain-gebaseerde command and control (C2) via Ethereum-transacties en geavanceerde procesinjectie via module stomping. Op macOS wordt een geobfusceerde AppleScript dropper ingezet met een Telegram-gebaseerd fallback C2 mechanisme.

De campagne begint met een valse identiteit van een venture capital firma die via LinkedIn contact legt. Na het eerste contact wordt de communicatie verplaatst naar een Telegram-groep met meerdere zogenaamd betrokken partners, wat de geloofwaardigheid verhoogt. Het gesprek draait om financiële diensten en cryptocurrency liquiditeitsoplossingen. Het slachtoffer wordt gevraagd Obsidian te gebruiken als 'management database' om toegang te krijgen tot een gedeeld dashboard. Hiervoor ontvangt het slachtoffer inloggegevens voor een cloud vault die door de aanvallers wordt beheerd. Zodra deze vault in Obsidian wordt geopend en de synchronisatie van community plugins wordt ingeschakeld, activeren de getrojaniseerde plugins de aanvalsketen.

Elastic Defend signaleerde verdachte PowerShell-uitvoering met Obsidian als ouderproces, wat aanleiding gaf tot nader onderzoek. De Obsidian-binary bleek authentiek, wat wijst op misbruik van legitieme software voor initial access. Deze aanval illustreert het risico van social engineering gecombineerd met misbruik van legitieme applicaties en plugins, en benadrukt het belang van monitoring en detectie van afwijkend gedrag binnen vertrouwde software-omgevingen.