Hackers aprovechan la app de notas Obsidian para robar criptomonedas a través de LinkedIn

Usuarios de criptomonedas son el objetivo de un nuevo ciberataque en el que los criminales se aprovechan de la popular aplicación de notas Obsidian, según informa Elastic Security Labs. A través de LinkedIn y Telegram, los atacantes ganan la confianza de sus víctimas y las persuaden para instalar plugins maliciosos que activan malware, otorgando a los atacantes control total sobre el dispositivo.

Comienza con un mensaje en LinkedIn

El ataque sigue un patrón fijo. Los delincuentes se acercan a profesionales del sector cripto y financiero a través de LinkedIn, donde se hacen pasar por empleados de una empresa de capital de riesgo. Tras el primer contacto, la conversación se traslada a Telegram.

Allí, se abordan temas sobre servicios financieros y soluciones de liquidez. El tono es profesional y creíble. La mayoría de las víctimas no sospechan nada en ese momento.

Obsidian como trampa

Posteriormente, los atacantes solicitan el uso de Obsidian, supuestamente como parte de un sistema interno. Las víctimas reciben credenciales para un almacenamiento en la nube y, al abrirlo, se les pide sincronizar lo que se denominan plugins comunitarios.

En ese instante cae la trampa. Los plugins contienen malware que se activa sin que la víctima lo note. Obsidian en sí no ha sido hackeado; los atacantes explotan el sistema de plugins de la aplicación para infiltrar su código a través de un flujo de trabajo aparentemente legítimo.

Malware otorga control total

El malware, denominado por los investigadores como PHANTOMPULSE, es un troyano de acceso remoto que permite a los atacantes tener control total sobre el dispositivo de la víctima a distancia. Pueden espiar, robar datos y manipular sistemas.

Este malware está diseñado para permanecer sin ser detectado durante largos periodos, lo que lo hace especialmente peligroso para profesionales de criptomonedas que almacenan claves privadas o frases semilla en su dispositivo.

La blockchain complica detener el ataque

Un aspecto destacable es que el malware usa blockchain para la comunicación. En lugar de servidores tradicionales, PHANTOMPULSE obtiene instrucciones de transacciones públicas en la blockchain. Dado que estos datos son inmutables y accesibles para todos, los servicios de seguridad no pueden bloquear fácilmente esta comunicación.

Además, los atacantes utilizan múltiples blockchains, lo que dificulta aún más desmantelar su infraestructura.

Advertencia para todo el sector

El ataque se enmarca en un patrón más amplio. A principios de este mes, la plataforma DeFi Drift fue hackeada después de que los atacantes contactaran a empleados durante seis meses en conferencias. En Kraken, se robaron datos de clientes a través de sus propios empleados de soporte. La constante: no es la tecnología, sino el factor humano el eslabón más débil.

Elastic enfatiza que incluso el software confiable puede ser utilizado como arma. El consejo es claro: no instale plugins a solicitud de terceros, esté alerta ante acercamientos profesionales por LinkedIn y nunca guarde claves privadas en un dispositivo conectado a software desconocido.