Hackers misbruiken notitie-app Obsidian om crypto te stelen via LinkedIn

Cryptogebruikers zijn het doelwit van een nieuwe cyberaanval waarbij criminelen misbruik maken van de populaire notitie-app Obsidian. Dat meldt Elastic Security Labs. Via LinkedIn en Telegram winnen de aanvallers het vertrouwen van hun slachtoffers en verleiden ze hen om kwaadaardige plugins te installeren. Die plugins activeren malware waarmee de aanvallers volledige controle krijgen over het apparaat.

Het begint met een LinkedIn-bericht

De aanval volgt een vast patroon. Criminelen benaderen professionals uit de crypto- en financiële sector via LinkedIn, waar ze zich voordoen als medewerkers van een durfkapitaalbedrijf. Na het eerste contact verplaatst het gesprek zich naar Telegram.

Daar volgen gesprekken over financiële diensten en liquiditeitsoplossingen. De toon is professioneel en geloofwaardig. Op dat moment vermoeden de meeste slachtoffers niets.

Obsidian als val

Vervolgens vragen de aanvallers om Obsidian te gebruiken, zogenaamd als onderdeel van een intern systeem. Slachtoffers ontvangen inloggegevens voor een cloudkluis. Bij het openen worden ze gevraagd om zogeheten community-plugins te synchroniseren.

Op dat moment slaat de val dicht. De plugins bevatten malware die ongemerkt wordt geactiveerd. Obsidian zelf is niet gehackt. De aanvallers misbruiken het pluginsysteem van de app om hun code binnen te smokkelen via een ogenschijnlijk legitieme werkstroom.

Malware geeft volledige controle

De malware, door onderzoekers PHANTOMPULSE genoemd, is een zogeheten remote access trojan. Daarmee krijgen aanvallers op afstand volledige controle over het apparaat van het slachtoffer. Ze kunnen meekijken, gegevens stelen en systemen manipuleren.

De malware is ontworpen om langdurig onopgemerkt te blijven. Dat maakt het extra gevaarlijk voor cryptoprofessionals die privésleutels of seed phrases op hun apparaat bewaren.

Blockchain maakt de aanval lastiger te stoppen

Een opvallend aspect is dat de malware blockchain gebruikt voor communicatie. In plaats van traditionele servers haalt PHANTOMPULSE instructies op uit openbare blockchaintransacties. Omdat die data onveranderlijk en voor iedereen toegankelijk is, kunnen beveiligingsdiensten de communicatie niet eenvoudig blokkeren.

De aanvallers gebruiken bovendien meerdere blockchains, waardoor hun infrastructuur moeilijker is uit te schakelen.

Waarschuwing voor de hele sector

De aanval past in een breder patroon. Eerder deze maand werd DeFi-platform Drift gehackt nadat aanvallers zes maanden lang medewerkers benaderden op conferenties. Bij Kraken werden klantgegevens gestolen via eigen supportmedewerkers. De rode draad: niet de technologie maar de mens is de zwakste schakel.

Elastic benadrukt dat zelfs betrouwbare software als wapen kan worden ingezet. Het advies is helder: installeer geen plugins op verzoek van externen, wees alert op professioneel ogende benaderingen via LinkedIn en bewaar nooit privésleutels op een apparaat dat verbonden is met onbekende software.