Hacker nutzen Notiz-App Obsidian, um über LinkedIn Krypto zu stehlen

Kryptonutzer sind Ziel einer neuen Cyberattacke, bei der Kriminelle die beliebte Notiz-App Obsidian ausnutzen. Das berichtet Elastic Security Labs. Über LinkedIn und Telegram gewinnen die Angreifer das Vertrauen ihrer Opfer und verleiten sie dazu, schädliche Plugins zu installieren. Diese Plugins aktivieren Malware, mit der die Angreifer die vollständige Kontrolle über das Gerät erlangen.

Es beginnt mit einer LinkedIn-Nachricht

Der Angriff folgt einem festen Muster. Kriminelle kontaktieren Fachleute aus der Krypto- und Finanzbranche über LinkedIn und geben sich als Mitarbeiter eines Risikokapitalunternehmens aus. Nach dem ersten Kontakt verlagert sich das Gespräch auf Telegram.

Dort folgen Gespräche über Finanzdienstleistungen und Liquiditätslösungen. Der Ton ist professionell und glaubwürdig. Die meisten Opfer schöpfen zu diesem Zeitpunkt keinen Verdacht.

Obsidian als Falle

Daraufhin bitten die Angreifer darum, Obsidian zu nutzen, angeblich als Teil eines internen Systems. Die Opfer erhalten Zugangsdaten für ein Cloud-Safe. Beim Öffnen werden sie aufgefordert, sogenannte Community-Plugins zu synchronisieren.

An diesem Punkt schnappt die Falle zu. Die Plugins enthalten Malware, die unbemerkt aktiviert wird. Obsidian selbst wurde nicht gehackt. Die Angreifer nutzen das Pluginsystem der App aus, um ihren Code über einen scheinbar legitimen Arbeitsablauf einzuschleusen.

Malware gibt vollständige Kontrolle

Die Malware, von Forschern als PHANTOMPULSE bezeichnet, ist ein sogenannter Remote-Access-Trojaner. Damit erlangen Angreifer aus der Ferne die vollständige Kontrolle über das Gerät des Opfers. Sie können mitsehen, Daten stehlen und Systeme manipulieren.

Die Malware ist darauf ausgelegt, langfristig unbemerkt zu bleiben. Das macht sie besonders gefährlich für Kryptoprofis, die private Schlüssel oder Seed-Phrasen auf ihrem Gerät speichern.

Blockchain erschwert die Abwehr der Attacke

Ein bemerkenswerter Aspekt ist, dass die Malware die Blockchain für die Kommunikation nutzt. Anstatt traditionelle Server zu verwenden, bezieht PHANTOMPULSE Anweisungen aus öffentlichen Blockchain-Transaktionen. Da diese Daten unveränderlich und für alle zugänglich sind, können Sicherheitsdienste die Kommunikation nicht einfach blockieren.

Die Angreifer nutzen zudem mehrere Blockchains, was es erschwert, ihre Infrastruktur auszuschalten.

Warnung für die gesamte Branche

Die Attacke passt in ein größeres Muster. Anfang des Monats wurde die DeFi-Plattform Drift gehackt, nachdem Angreifer sechs Monate lang Mitarbeiter auf Konferenzen kontaktierten. Bei Kraken wurden Kundendaten durch eigene Supportmitarbeiter gestohlen. Der rote Faden: Nicht die Technologie, sondern der Mensch ist das schwächste Glied.

Elastic betont, dass selbst vertrauenswürdige Software als Waffe eingesetzt werden kann. Der Rat ist klar: Keine Plugins auf Aufforderung von Außenstehenden installieren, aufmerksam bei professionell wirkenden Kontakten über LinkedIn sein und niemals private Schlüssel auf einem Gerät aufbewahren, das mit unbekannter Software verbunden ist.