Cryptogebruikers zijn het doelwit van een nieuwe cyberaanval waarbij criminelen misbruik maken van de populaire notitie-app Obsidian. Dat meldt Elastic Security Labs. Via LinkedIn en Telegram winnen de aanvallers het vertrouwen van hun slachtoffers en verleiden ze hen om kwaadaardige plugins te installeren. Die plugins activeren malware waarmee de aanvallers volledige controle krijgen over het apparaat.
De aanval volgt een vast patroon. Criminelen benaderen professionals uit de crypto- en financiële sector via LinkedIn, waar ze zich voordoen als medewerkers van een durfkapitaalbedrijf. Na het eerste contact verplaatst het gesprek zich naar Telegram.
Daar volgen gesprekken over financiële diensten en liquiditeitsoplossingen. De toon is professioneel en geloofwaardig. Op dat moment vermoeden de meeste slachtoffers niets.
Vervolgens vragen de aanvallers om Obsidian te gebruiken, zogenaamd als onderdeel van een intern systeem. Slachtoffers ontvangen inloggegevens voor een cloudkluis. Bij het openen worden ze gevraagd om zogeheten community-plugins te synchroniseren.
Op dat moment slaat de val dicht. De plugins bevatten malware die ongemerkt wordt geactiveerd. Obsidian zelf is niet gehackt. De aanvallers misbruiken het pluginsysteem van de app om hun code binnen te smokkelen via een ogenschijnlijk legitieme werkstroom.
De malware, door onderzoekers PHANTOMPULSE genoemd, is een zogeheten remote access trojan. Daarmee krijgen aanvallers op afstand volledige controle over het apparaat van het slachtoffer. Ze kunnen meekijken, gegevens stelen en systemen manipuleren.
De malware is ontworpen om langdurig onopgemerkt te blijven. Dat maakt het extra gevaarlijk voor cryptoprofessionals die privésleutels of seed phrases op hun apparaat bewaren.
Een opvallend aspect is dat de malware blockchain gebruikt voor communicatie. In plaats van traditionele servers haalt PHANTOMPULSE instructies op uit openbare blockchaintransacties. Omdat die data onveranderlijk en voor iedereen toegankelijk is, kunnen beveiligingsdiensten de communicatie niet eenvoudig blokkeren.
De aanvallers gebruiken bovendien meerdere blockchains, waardoor hun infrastructuur moeilijker is uit te schakelen.
De aanval past in een breder patroon. Eerder deze maand werd DeFi-platform Drift gehackt nadat aanvallers zes maanden lang medewerkers benaderden op conferenties. Bij Kraken werden klantgegevens gestolen via eigen supportmedewerkers. De rode draad: niet de technologie maar de mens is de zwakste schakel.
Elastic benadrukt dat zelfs betrouwbare software als wapen kan worden ingezet. Het advies is helder: installeer geen plugins op verzoek van externen, wees alert op professioneel ogende benaderingen via LinkedIn en bewaar nooit privésleutels op een apparaat dat verbonden is met onbekende software.
Cryptobeurs Kraken wordt afgeperst door een criminele groep die beweert klantgegevens te hebben. Namen en adressen van circa 2.000 klanten zijn mogelijk gelekt.
Voor het onderzoek analyseerden de wetenschappers 428 AI-routers, waaronder 28 betaalde en 400 gratis varianten uit publieke bronnen.
Een nep Ledger-app in de App Store kostte een Amerikaan zijn volledige Bitcoin-pensioen van honderdduizenden dollars. Zo ging het mis.
De mislukte vredesgesprekken met Iran drukken maandag op aandelen. Analisten verwachten een stijgende dollar en olieprijs. De schade kan meevallen als markten het als uitstel zien.
Drie tankers lijken via een nieuwe route langs Oman de Straat van Hormuz binnen te varen. Het zou de eerste doorbraak zijn sinds de blokkade.
Frankrijk haalt goud terug uit de Verenigde Staten, boekt miljardenwinst en kiest voor opslag in eigen land. Wat betekent dat nu?
