Mensagem do Gate News, 15 de abril — Os Laboratórios de Elastic Security divulgaram que agentes de ameaça se passaram por empresas de capital de risco para atrair alvos por meio do LinkedIn e do Telegram, fazendo-os abrir cofres de notas maliciosas do Obsidian. O ataque explorou o plugin Shell Commands do Obsidian para executar cargas maliciosas quando as vítimas abriam o cofre, sem exigir exploração de vulnerabilidade.
PHANTOMPULSE, um trojan de acesso remoto do Windows não documentado anteriormente (RAT), foi descoberto no ataque. Ele usa comunicação de C2 baseada em blockchain por meio de dados de transações do Ethereum. A carga útil para macOS empregou um dropper de AppleScript ofuscado com um canal do Telegram como C2 de backup.
A Elastic Defend detectou e bloqueou o ataque antes da execução do PHANTOMPULSE.