Yeni Bir Sosyal Mühendislik Saldırısı: Obsidian Kullanımıyla PHANTOMPULSE Dağıtımı
Son günlerde, Obsidian adındaki çapraz platform not alma uygulamasını istismar eden yeni bir sosyal mühendislik kampanyası gözlemlendi. Bu saldırılar, finansal ve kripto para sektöründeki bireylere yönelik olarak, daha önce belgelenmemiş bir Windows uzaktan erişim trojanı olan PHANTOMPULSE‘un yayılmasını amaçlamaktadır.
Saldırı Nasıl Çalışıyor?
Elastic Security Labs tarafından REF6598 olarak adlandırılan bu kampanya, LinkedIn ve Telegram üzerinden çeşitli sosyal mühendislik taktiklerini kullanarak hem Windows hem de macOS sistemlerine saldırmaktadır. Saldırganlar, bir yatırım firması olarak kurbanları yaklaşarak, daha sonra Telegram grubuna geçiş yaparak sahte bir güven ortamı oluşturmaktadırlar.
- Telegram grubunda finans hizmetleri ve kripto para likidite çözümleri hakkında konuşmalar yapılmaktadır.
- Hedefe, kendilerine sağlanan kimlik bilgileri ile bir bulut-hosted vault‘a erişmeleri için Obsidian uygulamasını kullanmaları talimatı verilmektedir.
Etkilenen Sistemler
Bu vault açıldığında, kötü amaçlı yazılımın enfeksiyon dizisi başlatılmaktadır. Kullanıcıdan “Yüklenmiş topluluk eklentileri” senkronizasyonunu etkinleştirmesi istenir; bu da zararlı kodların çalıştırılmasına yol açar.
Aşağıda, saldırganların kullandığı eklentiler yer almaktadır:
- Shell Commands eklentisi: Komutların çalıştırılmasını sağlar.
- Hider eklentisi: Kullanıcı arayüzündeki bazı öğeleri gizler.
Saldırganları engellemek için mevcut durumdan yararlanmak ve bu koşulları hedef kullanıcıya iletmek önemlidir.
Çözüm ve Korunma
Saldırganların, hedefin topluluk eklentisi senkronizasyonunu manuel olarak açmaları gerektiğinden, bu eklentinin etkinleştirilmemesi kritik öneme sahiptir. Aşağıda, PHANTOMPULSE’un nasıl çalıştığını açıklayan teknik detaylar yer almaktadır:
- Windows için, komutlar bir PowerShell betiği ile kullanılmakta ve PHANTOMPULL adlı aracı yükleyici ile PHANTOMPULSE‘u bellek içinde başlatmaktadır.
- MacOS için ise, Shell Commands eklentisi, obfuscate edilmiş bir AppleScript dropper kullanarak sabit bir alan listesi üzerinde iterasyon yapmaktadır.
Son aşamada, dropper script, C2 alanıyla iletişime geçerek ikinci aşama bir yükü indirmekte ve çalıştırmaktadır. Ancak, bu aşama henüz netleşmemiştir, çünkü C2 sunucuları çevrimdışı kalmıştır.
Sonuç
Kullanıcıların, Obsidian gibi güvenilir uygulamaları kullanırken dikkatli olmaları ve topluluk eklenti ayarlarını kontrol etmeleri kritik önem taşımaktadır. Zarar görme olasılığını en aza indirmek için:
- Obsidian uygulamasını en son sürüme güncelleyin.
- Topluluk eklenti senkronizasyonunu kapalı tutun.
- Bilinmeyen bağlantılardan gelen taleplere karşı dikkatli olun.
Bu tür saldırılara karşı hazırlıklı olmak, siber güvenliğinizi artırmak açısından hayati önem taşımaktadır.
