phantompulse

안전 연구 기관 Elastic Security Labs는 금융 및 암호화폐 산업 종사자를 대상으로 한 새로운 사회 공학 공격 활동을 공개했습니다. 공격자는 LinkedIn과 Telegram에서 벤처 캐피탈 기관으로 가장하여, 목표가 내장된 악성 페이로드가 포함된 Obsidian 노트 라이브러리를 열도록 유도하고, 이전에 기록된 적이 없는 Windows 원격 제어 트로이 목마 PHANTOMPULSE를 배포합니다.이 공격은 어떤 소프트웨어 취약점을 이용할 필요가 없으며, Obsidian의 Shell Commands 플러그인을 남용하여 노트 라이브러리가 열릴 때 자동으로 악성 코드를 실행합니다. macOS에서는 혼란스러운 AppleScript 배포기와 Telegram 채널을 결합하여 대체 명령 제어 서버로 사용하고, Windows에서는 이더리움 거래 데이터를 활용하여 블록체인화된 C2 주소 해석을 구현합니다.