### Acesso Inicial via LinkedIn e Telegram Ataques começam com elaboradas táticas de engenharia social no **LinkedIn** e **Telegram**. Atores de ameaças se passam por uma firma de capital de risco, abordando potenciais vítimas no **LinkedIn** e, em seguida, movendo a conversa para um grupo no **Telegram** para estabelecer credibilidade. ### Abuso dos Plugins Comunitários do Obsidian O alvo é instruído a usar o **Obsidian** para acessar um dashboard compartilhado conectando-se a um vault hospedado na nuvem. Este vault aciona a sequência de infecção ao ser aberto, solicitando ao usuário que ative a sincronização de "Plugins comunitários instalados", o que executa código malicioso. Pesquisadores Salim Bitam, Samir Bousseaden e Daniel Stepanic da **Elastic Security Labs** destacaram o abuso do ecossistema de plugins comunitários do **Obsidian**, especificamente os plugins [Shell Commands](https://github.com/Taitava/obsidian-shellcommands) e [Hider](https://github.com/kepano/obsidian-hider). Esses plugins executam código silenciosamente quando uma vítima abre o vault malicioso. O atacante precisa convencer o alvo a habilitar manualmente a sincronização de plugins comunitários, pois ela está desativada por padrão. O plugin **Hider** é usado em conjunto com o **Shell Commands** para ocultar certos elementos da interface do usuário do **Obsidian**. ### Implantação do PHANTOMPULSE RAT No Windows, os comandos executados invocam um script **PowerShell** para descarregar um loader intermediário chamado **PHANTOMPULL**, que descriptografa e lança o **PHANTOMPULSE** em memória. O **PHANTOMPULSE** é um backdoor gerado por IA que utiliza a blockchain **Ethereum** para resolver seu servidor de comando e controle (C2). Ele busca a transação mais recente associada a um endereço de carteira codificado ([https://etherscan.io/address/0xc117688c530b660e15085bF3A2B664117d8672aA](https://etherscan.io/address/0xc117688c530b660e15085bF3A2B664117d8672aA)). O malware usa **WinHTTP** para comunicação, permitindo enviar dados de telemetria do sistema, buscar comandos, transmitir resultados de execução, fazer upload de arquivos/capturas de tela e capturar pressionamentos de teclas. Comandos suportados incluem: * `inject`: Injetar shellcode/DLL/EXE no processo alvo. * `drop`: Descarregar um arquivo no disco e executá-lo. * `screenshot`: Capturar e enviar uma captura de tela. * `keylog`: Iniciar/parar um keylogger. * `uninstall`: Iniciar a remoção de persistência e realizar limpeza. * `elevate`: Escalar privilégios para SYSTEM através do [COM elevation moniker](https://learn.microsoft.com/en-us/windows/win32/com/the-com-elevation-moniker). * `downgrade`: Transição de SYSTEM para administrador elevado. ### Vetor de Ataque no macOS No macOS, o plugin **Shell Commands** entrega um dropper **AppleScript** ofuscado que itera sobre uma lista de domínios codificada, usando o **Telegram** como um resolvedor de "dead drop" para resolução de C2 de fallback. Isso permite a fácil rotação da infraestrutura de C2. O script dropper contata o domínio C2 para baixar e executar um payload de segundo estágio via `osascript`. A natureza exata deste payload é atualmente desconhecida, pois os servidores C2 estão offline. A intrusão foi detectada e bloqueada antes que o adversário pudesse atingir seus objetivos. ### Conclusão A **Elastic** conclui que o **REF6598** demonstra como atores de ameaças estão abusando criativamente de aplicativos confiáveis para acesso inicial e empregando engenharia social direcionada. Ao explorar o ecossistema de plugins comunitários do **Obsidian**, os atacantes contornam controles de segurança tradicionais, confiando na funcionalidade pretendida do aplicativo para executar código arbitrário.