Обсидиан плъгини се използват за разпространение на PHANTOMPULSE RAT при таргетирани атаки срещу финансовия сектор

Нова целенасочена кампания използва приложението Obsidian като входна точка за атака, комбинирайки социално инженерство и злоупотреба с легитимни функционалности. Целта са професионалисти във финансовия и крипто сектор, като се разпространява нов зловреден софтуер тип Remote Access Trojan (RAT), известен като PHANTOMPULSE.

Какво се случва

Атаката започва чрез контакт в LinkedIn, представяйки се за инвестиционна или венчър компания. Разговорът бързо се прехвърля в Telegram, където жертвата попада в група с привидно легитимни участници.

След изграждане на доверие, жертвата получава инструкции да отвори споделен Obsidian vault. За да работи той, се изисква ръчно активиране на „community plugins“ синхронизацията. Именно този момент отключва атаката.

Зловредният код се изпълнява чрез:

• Shell Commands plugin, който стартира команди локално
• Hider plugin, който скрива елементи от интерфейса и затруднява разпознаването

Как работи атаката

След активиране на плъгините, се задейства изпълнение на команди:

• На Windows се стартира PowerShell скрипт (PHANTOMPULL), който зарежда PHANTOMPULSE в паметта
• На macOS се използва AppleScript dropper с fallback към Telegram за C2

PHANTOMPULSE използва нетипичен подход за комуникация:

• извлича C2 адрес чрез Ethereum blockchain транзакции
• комуникира през WinHTTP
• избягва традиционни AV сигнатури, тъй като payload-ът е в JSON конфигурации

Какво може да прави зловредният код

След компрометиране, атакуващият получава пълен контрол:

• извличане на системна информация
• изпълнение на команди
• заснемане на екран
• keylogging
• качване на файлове
• ескалация на привилегии

Защо е важно

Тази атака не използва уязвимост, а нормална функционалност на легитимно приложение. Това означава:

• традиционните защити не се задействат
• потребителят става част от атаката чрез действие
• доверието към инструменти се превръща в входна точка

DIAMATIX Perspective

Този сценарий показва ясно къде реално се чупят защитите.

Не при експлойт.
А при взаимодействие между човек и легитимен инструмент.

В подобни случаи:

• защитата на ниво endpoint не е достатъчна
• липсва контекст за това кое е „очаквано поведение“
• SOC видимостта става критична

Практически това означава:

• нужда от наблюдение на процеси, а не само файлове
• корелация между user action и execution
• контрол върху приложения, които изпълняват команди

Заключение

Атаките все по-често използват доверени приложения като част от веригата на компрометиране. Това измества фокуса от „уязвимости“ към реално поведение и оперативен контрол. Организациите трябва да наблюдават как се използват инструментите, а не само дали са уязвими.

Източници

Elastic Security Labs. Technical analysis (April 2026)
Public threat intelligence reporting (April 2026)