Obsidian-App wird zur Waffe für Finanz-Spionage

Die als REF6598 bezeichnete Attacke zielt gezielt auf Finanzexperten und Investoren ab. Angreifer schleusen über manipulierte Plugins Schadsoftware in Unternehmensnetzwerke ein.

Vom LinkedIn-Kontakt zum infizierten Notizbuch

Der Angriff beginnt auf Plattformen wie LinkedIn. Die Täter geben sich als Vertreter von Risikokapitalgebern aus und ködern ihre Opfer mit Angeboten zur Zusammenarbeit. Sie laden Zielpersonen dazu ein, einen geteilten Cloud-Tresor in Obsidian zu öffnen – der erste Schritt in die Falle.

Während raffinierte Methoden wie manipulierte Obsidian-Plugins zunehmen, bleiben auch klassische Einfallstore für Unternehmen hochgefährlich. Dieses kostenlose Anti-Phishing-Paket zeigt Ihnen in 4 Schritten, wie Sie sich effektiv gegen psychologische Manipulationstaktiken und Hacker-Angriffe schützen. Kostenlosen Leitfaden für Unternehmen jetzt herunterladen

Darin versteckt sind manipulierte Versionen beliebter Community-Plugins wie „Shell Commands“ und „Hider“. Diese eigentlich legitimen Erweiterungen führen im Hintergrund bösartigen Code aus. Da die Ausführung innerhalb der vertrauenswürdigen App erfolgt, umgeht die Malware viele klassische Sicherheitsvorkehrungen.

PhantomPulse RAT nutzt Ethereum-Blockchain

Die technische Analyse offenbart ein hochprofessionelles Arsenal. Auf Windows-Systemen kommt der PhantomPulse RAT zum Einsatz – ein Trojaner mit besonderer Tarnung. Er nutzt die Ethereum-Blockchain für seine Steuerung, was die Verfolgung durch Behörden extrem erschwert.

Für macOS-Nutzer haben die Angreifer einen speziellen AppleScript-Dropper entwickelt. Dieser verfügt sogar über einen Fallback-Mechanismus via Telegram, falls die primäre Verbindung scheitert. Die Täter exploitieren gezielt die weitreichenden Berechtigungen, die Community-Plugins oft fordern.

Bedrohungslandschaft wird immer komplexer

Die Obsidian-Kampagne ist kein Einzelfall. Erst im März tauchte der SurxRAT auf, der KI-Modelle von Hugging Face nutzt, um Phishing-Angriffe zu automatisieren. Im Februar wurde mit ZeroDayRAT eine Spyware entdeckt, die mobile Geräte ohne klassische App-Installation infiltrieren kann.

Parallel warnen Behörden vor anderen Risiken. Das FBI riet Ende März zur Vorsicht bei Apps wie CapCut und Temu, da Daten an ausländische Regierungen fließen könnten. Mitte April wurden zudem gezielte Angriffe auf Samsung Galaxy S22 Ultra-Geräte bekannt, bei denen Geräte ferngesteuert gesperrt wurden.

Besonders die Zunahme gezielter Angriffe auf mobile Endgeräte zeigt, dass herkömmliche Vorsicht heute nicht mehr ausreicht. Erfahren Sie in diesem kostenlosen Experten-Report, wie Sie Ihr Android-Smartphone mit 5 einfachen Maßnahmen wirksam gegen Hacker und Datenmissbrauch absichern. Gratis-Sicherheitsratgeber für Smartphones anfordern

Phishing erreicht neue Dimensionen

Die Bedrohung durch Betrugsversuche bleibt auf Rekordniveau. Aktuell kursiert eine großangelegte Welle gefälschter iCloud-Warnungen, die auf Bankdaten von 1,8 Milliarden iPhone-Nutzern abzielt. Sicherheitsfirmen wie Kaspersky meldeten für 2025 bereits über eine Million kompromittierte Online-Banking-Konten.

Doch die Behörden schlagen zurück. Am 13. April zerschlug das FBI das W3LL-Phishing-Netzwerk und nahm einen mutmaßlichen Entwickler fest. Dessen Tools hatten den Diebstahl von über 25.000 Konten ermöglicht, indem sie Zwei-Faktor-Authentifizierungen umgingen.

Plugin-Sicherheit wird zur Überlebensfrage

Die REF6598-Kampagne markiert einen Wendepunkt: Produktivitäts-Apps werden zur Angriffsplattform. Experten erwarten, dass KI die Erstellung täuschend echter Phishing-Inhalte weiter beschleunigen wird. Die Grenze zwischen nützlicher Erweiterung und bösartigem Tool verschwimmt.

Unternehmen müssen ihre Plugin-Richtlinien grundlegend überdenken. Sicherheitslösungen werden künftig stärker auf Verhaltensanalysen setzen müssen. Für Anwender bleibt Skepsis gegenüber unaufgeforderten Kontakten die wichtigste Schutzmaßnahme.

de | boerse | 69143261 |