แฮกเกอร์ใช้ประโยชน์จากปลั๊กอิน Obsidian เพื่อแพร่กระจายโทรจัน PHANTOMPULSE ด้วย C2 บนบล็อกเชน

ข้อความข่าว Gate, 15 เมษายน — Elastic Security Labs เปิดเผยว่า กลุ่มผู้ไม่หวังดีแอบอ้างบริษัทเงินร่วมลงทุน (venture capital) เพื่อหลอกล่อเป้าหมายผ่าน LinkedIn และ Telegram ให้เปิด vault ของโน้ต Obsidian ที่เป็นอันตราย การโจมตีใช้ปลั๊กอิน Shell Commands ของ Obsidian เพื่อเรียกใช้เพย์โหลดที่เป็นอันตรายเมื่อเหยื่อเปิด vault โดยไม่จำเป็นต้องใช้ประโยชน์จากช่องโหว่ใดๆ

PHANTOMPULSE ซึ่งเป็นโทรจันการเข้าถึงระยะไกลบน Windows ที่ไม่เคยถูกบันทึกมาก่อน (RAT) ถูกพบในการโจมตี มันใช้การสื่อสาร C2 ผ่านข้อมูลธุรกรรมของบล็อกเชนทาง Ethereum เพย์โหลดบน macOS ใช้ตัวดรอปเปอร์ AppleScript ที่ถูกทำให้อำพราง โดยมีช่องทาง Telegram เป็น C2 สำรอง

Elastic Defend ตรวจพบและบล็อกการโจมตีได้ก่อนการทำงานของ PHANTOMPULSE

news.article.disclaimer
แสดงความคิดเห็น
0/400
ไม่มีความคิดเห็น