BlockBeatsの報道によると、4月15日、セキュリティ研究機関Elastic Security Labsは、金融および暗号通貨業界の担当者を標的とした新しいソーシャルエンジニアリング攻撃キャンペーンを明らかにしました。攻撃者はLinkedInとTelegram上でベンチャーキャピタルファンドを装い、標的を誘い込んで、組み込みの悪意のあるペイロードを持つObsidianノートブックを開かせ、それにより、これまで記録されたことのないWindowsリモートコントロール型トロイの木馬PHANTOMPULSEを展開しました。

この攻撃は、いかなるソフトウェアの脆弱性も利用せず、ObsidianのShell Commandsプラグインを悪用して、ノートブックが開かれた際に自動的に悪意のあるコードを実行します。macOS側では、難読化されたAppleScriptドロッパーとTelegramチャンネルをバックアップの指令制御サーバーとして使用し、Windows側では、さらにイーサリアムの取引データを活用してブロックチェーン化されたC2アドレスの解析を実現しています。