Des hackers exploitent l’application de notes Obsidian pour voler des cryptos via LinkedIn

Les utilisateurs de cryptomonnaies sont la cible d’une nouvelle cyberattaque exploitant l’application de prise de notes populaire Obsidian, selon Elastic Security Labs. Les criminels gagnent la confiance de leurs victimes via LinkedIn et Telegram, les incitant à installer des plugins malveillants. Ces plugins activent des logiciels malveillants permettant aux attaquants de prendre le contrôle total de l’appareil.

Tout commence par un message LinkedIn

L’attaque suit un schéma bien défini. Les criminels approchent des professionnels du secteur crypto et financier via LinkedIn, se faisant passer pour des employés d’une société de capital-risque. Après le premier contact, la conversation se déplace sur Telegram.

Les discussions portent alors sur des services financiers et des solutions de liquidité. Le ton est professionnel et crédible. À ce stade, la plupart des victimes ne se doutent de rien.

Obsidian comme piège

Les attaquants demandent ensuite d’utiliser Obsidian, prétendument dans le cadre d’un système interne. Les victimes reçoivent des identifiants pour un coffre-fort cloud. À l’ouverture, elles sont invitées à synchroniser des plugins communautaires.

À ce moment-là, le piège se referme. Les plugins contiennent des logiciels malveillants activés discrètement. Obsidian lui-même n’est pas piraté. Les attaquants exploitent le système de plugins de l’application pour introduire leur code dans un flux de travail apparemment légitime.

La malware offre un contrôle total

Le logiciel malveillant, nommé PHANTOMPULSE par les chercheurs, est un cheval de Troie d’accès à distance. Il permet aux attaquants de prendre le contrôle total à distance de l’appareil de la victime. Ils peuvent observer, voler des données et manipuler les systèmes.

Conçu pour rester longtemps inaperçu, le malware est particulièrement dangereux pour les professionnels de la crypto qui conservent des clés privées ou des seed phrases sur leur appareil.

La blockchain complique l’arrêt de l’attaque

Un aspect notable est que le logiciel malveillant utilise la blockchain pour sa communication. Au lieu de serveurs traditionnels, PHANTOMPULSE récupère ses instructions à partir de transactions blockchain publiques. Ces données étant immuables et accessibles à tous, les services de sécurité ne peuvent pas facilement bloquer la communication.

Les attaquants utilisent également plusieurs blockchains, rendant leur infrastructure plus difficile à neutraliser.

Une mise en garde pour tout le secteur

L’attaque s’inscrit dans un schéma plus large. Plus tôt ce mois-ci, la plateforme DeFi Drift a été piratée après que des attaquants ont approché ses employés lors de conférences pendant six mois. Chez Kraken, des données clients ont été volées via des membres de leur propre support. Le point commun : ce n’est pas la technologie mais l’humain qui est le maillon faible.

Elastic souligne que même les logiciels fiables peuvent être détournés comme armes. Le conseil est clair : n’installez pas de plugins à la demande d’externes, soyez vigilant face à des approches professionnelles sur LinkedIn et ne conservez jamais de clés privées sur un appareil connecté à des logiciels inconnus.