Gate 新闻消息,4月15日——Elastic 安全实验室披露,威胁行为者冒充风险投资公司,通过 LinkedIn 和 Telegram 引诱受害者打开恶意的 Obsidian 笔记库(note vaults)。该攻击利用 Obsidian 的“Shell Commands”插件,在受害者打开笔记库时执行恶意载荷,无需利用任何漏洞。

PHANTOMPULSE,这是一种此前未被记录的 Windows 远程访问木马 (RAT),在此次攻击中被发现。它通过以太坊交易数据进行区块链 C2 通信。macOS 载荷使用了带混淆的 AppleScript 投递器,并以 Telegram 频道作为备份 C2。

Elastic Defend 在 PHANTOMPULSE 执行前检测并拦截了此次攻击。