Usuarios de criptomonedas son el objetivo de un nuevo ciberataque en el que los criminales se aprovechan de la popular aplicación de notas Obsidian, según informa Elastic Security Labs. A través de LinkedIn y Telegram, los atacantes ganan la confianza de sus víctimas y las persuaden para instalar plugins maliciosos que activan malware, otorgando a los atacantes control total sobre el dispositivo.
Comienza con un mensaje en LinkedIn
El ataque sigue un patrón fijo. Los delincuentes se acercan a profesionales del sector cripto y financiero a través de LinkedIn, donde se hacen pasar por empleados de una empresa de capital de riesgo. Tras el primer contacto, la conversación se traslada a Telegram.
Allí, se abordan temas sobre servicios financieros y soluciones de liquidez. El tono es profesional y creíble. La mayoría de las víctimas no sospechan nada en ese momento.
Obsidian como trampa
Posteriormente, los atacantes solicitan el uso de Obsidian, supuestamente como parte de un sistema interno. Las víctimas reciben credenciales para un almacenamiento en la nube y, al abrirlo, se les pide sincronizar lo que se denominan plugins comunitarios.
En ese instante cae la trampa. Los plugins contienen malware que se activa sin que la víctima lo note. Obsidian en sí no ha sido hackeado; los atacantes explotan el sistema de plugins de la aplicación para infiltrar su código a través de un flujo de trabajo aparentemente legítimo.
Malware otorga control total
El malware, denominado por los investigadores como PHANTOMPULSE, es un troyano de acceso remoto que permite a los atacantes tener control total sobre el dispositivo de la víctima a distancia. Pueden espiar, robar datos y manipular sistemas.
Este malware está diseñado para permanecer sin ser detectado durante largos periodos, lo que lo hace especialmente peligroso para profesionales de criptomonedas que almacenan claves privadas o frases semilla en su dispositivo.
La blockchain complica detener el ataque
Un aspecto destacable es que el malware usa blockchain para la comunicación. En lugar de servidores tradicionales, PHANTOMPULSE obtiene instrucciones de transacciones públicas en la blockchain. Dado que estos datos son inmutables y accesibles para todos, los servicios de seguridad no pueden bloquear fácilmente esta comunicación.
Además, los atacantes utilizan múltiples blockchains, lo que dificulta aún más desmantelar su infraestructura.
Advertencia para todo el sector
El ataque se enmarca en un patrón más amplio. A principios de este mes, la plataforma DeFi Drift fue hackeada después de que los atacantes contactaran a empleados durante seis meses en conferencias. En Kraken, se robaron datos de clientes a través de sus propios empleados de soporte. La constante: no es la tecnología, sino el factor humano el eslabón más débil.
Elastic enfatiza que incluso el software confiable puede ser utilizado como arma. El consejo es claro: no instale plugins a solicitud de terceros, esté alerta ante acercamientos profesionales por LinkedIn y nunca guarde claves privadas en un dispositivo conectado a software desconocido.
La IA ayuda a los hackers a vulnerar contratos inteligentes antiguos: los expertos alertan de una nueva amenaza
Los proyectos de blockchain no solo deben auditar sus contratos inteligentes antes del lanzamiento, sino someterlos después a revisiones periódicas.
Hackers hallan una nueva vía para vaciar monederos cripto a través de software de confianza
Un paquete de software muy utilizado por desarrolladores de la blockchain Injective ha sido afectado por un ataque a la cadena de suministro.
La cartera de un joven de 20 años, clave en una causa de blanqueo de 122 millones
Interpol incautó 293 millones de dólares y practicó 5.811 detenciones. Una sola cartera de un veinteañero movió 122,5 millones de dólares.
Más leídos
Mercado cripto: momento de la verdad para Bitcoin, Ethereum y XRP
Nueva jornada en verde para el mercado cripto. Bitcoin, Ethereum y XRP siguen subiendo y se acercan a niveles clave.
Una criptocartera con 650.000 usuarios cierra tras una brecha de seguridad
Ctrl Wallet, una cartera multicadena sin custodia que permite a los usuarios gestionar sus propios activos digitales, cierra definitivamente.
El Banco de Pagos Internacionales alerta de una burbuja de IA con grandes riesgos financieros
El BPI advierte de que la enorme ola de inversión en IA podría derivar en una crisis financiera por el endeudamiento y la inflación a escala mundial.