Usuários de criptomoedas alvo de golpe via um aplicativo de notas popular

Os cibercriminosos não faltam em imaginação. Desta vez, eles transformaram um simples aplicativo de anotações em uma arma silenciosa para esvaziar as carteiras cripto de suas vítimas. E o pior? A vítima não vê nada chegar.

Um aplicativo de notas desviado para enganar investidores de criptomoedas

Elastic Security Labs deu o alerta nesta terça-feira, em um relatório detalhado. Atores maliciosos estão ativamente mirando profissionais das criptomoedas e finanças através de uma campanha sofisticada de engenharia social. Eles operam principalmente no LinkedIn e Telegram, explorando os plugins comunitários do Obsidian, um aplicativo de anotações muito popular em ambientes tecnológicos e financeiros.

O cenário está ensaiado. O atacante contata sua vítima no LinkedIn passando-se por representante de uma empresa fictícia de capital de risco. A conversa migra para o Telegram, onde ele discute temas críveis: liquidez cripto, serviços financeiros, soluções de tesouraria. O objetivo é simples, estabelecer confiança antes de agir.

Então vem a armadilha: a vítima recebe credenciais para acessar um “painel compartilhado” hospedado em um cofre cloud do Obsidian, apresentado como o banco de dados interno da falsa empresa. Uma vez aberto o cofre, o Obsidian convida o usuário a ativar a sincronização dos plugins comunitários. Nesse momento preciso, os plugins infectados executam silenciosamente.

O resultado? Um cavalo de Troia chamado PHANTOMPULSE instala-se discretamente, compatível com Windows e macOS. Ele oferece aos atacantes acesso remoto completo ao dispositivo. Projetado para furtividade e resiliência, ele escapa dos antivírus tradicionais se disfarçando como software legítimo.

Um malware que usa a blockchain para desaparecer na multidão

O que distingue o PHANTOMPULSE de seus predecessores é sua infraestrutura de comando. Em vez de depender de servidores centralizados, facilmente identificáveis e bloqueáveis, ele se comunica através de três blockchains independentes. As instruções são transmitidas via transações on-chain vinculadas a uma carteira específica.

Resultado: mesmo se um explorador de blocos estiver inacessível, as outras duas redes assumem o controle. E como as transações blockchain são públicas e imutáveis, o malware sempre encontra seu servidor de comando, sem nunca depender de uma infraestrutura centralizada. Uma concepção quase indestrutível.

Esse ataque também não ocorre no vazio: faz parte de uma onda maior de fraudes sofisticadas direcionadas ao ecossistema cripto. No início de abril, um falso aplicativo Ledger Live infiltrado na App Store da Apple permitiu desviar quase 9,5 milhões de dólares em menos de uma semana, afetando mais de cinquenta vítimas em Bitcoin, Ethereum, Solana e outras redes importantes.

A Elastic destaca um alerta claro para as empresas: ferramentas de produtividade do dia a dia podem se tornar vetores de ataque. A recomendação é formal, aplicar políticas rigorosas de gestão de plugins a nível dos aplicativos.

Finalmente, é preciso lembrar uma realidade fundamental: as transações cripto são irreversíveis. Uma vez que os fundos são enviados, não há recurso possível. Nesse contexto, a melhor defesa é a desconfiança sistemática: nunca ativar plugins desconhecidos, verificar a identidade dos interlocutores profissionais e tratar qualquer solicitação de acesso a uma ferramenta compartilhada como uma possível tentativa de invasão.