حمله DarkSword به دستگاه‌های iOS با هدف کاربران کریپتو

خلاصه

• DarkSword به iOS 18.4–18.7 حمله می‌کند و کیف پول‌های ارز دیجیتال و اطلاعات شخصی را می‌دزدد.

• بدافزار Ghostblade صرافی‌های Coinbase، Binance، Ledger، MetaMask و سایر پلتفرم‌ها را هدف قرار می‌دهد.

• آسیب‌پذیری از طریق سایت‌های جعلی فعال می‌شود؛ برای آلوده کردن دستگاه‌ها نیازی به اقدام کاربر نیست.

• بدافزار مرحله نهایی پس از سرقت سریع داده‌های حساس، خود را حذف می‌کند.

• به iOS 26.3 به‌روزرسانی کنید یا حالت Lockdown را فعال کنید تا از حملات DarkSword جلوگیری کنید.

یک زنجیره آسیب‌پذیری جدید iOS به نام DarkSword به طور فعال دستگاه‌های دارای iOS 18.4 تا 18.7 را هدف قرار می‌دهد. این آسیب‌پذیری از شش آسیب‌پذیری zero-day برای نصب بدافزار بر روی دستگاه‌های در معرض خطر استفاده می‌کند. عوامل متعدد DarkSword را علیه کاربران در عربستان سعودی، اوکراین، مالزی و ترکیه به کار می‌گیرند.

DarkSword بدافزاری را ارائه می‌دهد که برای سرقت داده‌های حساس، از جمله اطلاعات ورود، تاریخچه تماس و اطلاعات مکان طراحی شده است. این بدافزار به طور خاص برنامه‌ها و کیف پول‌های ارز دیجیتال در دستگاه‌های آلوده را هدف قرار می‌دهد. کاربرانی که از وب‌سایت‌های در معرض خطر بازدید می‌کنند می‌توانند ناخواسته و بدون هیچ تعاملی، آسیب‌پذیری را فعال کنند.

محققان امنیت سایبری چندین خانواده بدافزار مرحله نهایی را که از طریق DarkSword مستقر شده‌اند، شناسایی کرده‌اند. این‌ها شامل Ghostblade، Ghostknife و Ghostsaber هستند که داده‌ها را به سرعت استخراج می‌کنند و سپس خود را حذف می‌کنند. کمپین‌ها پذیرش DarkSword را توسط فروشندگان جاسوس‌افزار تجاری و عوامل تهدید حمایت‌شده توسط دولت نشان می‌دهند.

Ghostblade صرافی‌های ارز دیجیتال و کیف پول‌ها را هدف قرار می‌دهد

Ghostblade که توسط DarkSword مستقر شده است، به طور فعال به دنبال برنامه‌های صرافی ارز دیجیتال در دستگاه‌های iOS می‌گردد. این بدافزار پلتفرم‌های اصلی مانند Coinbase، Binance، Kraken، Kucoin، OKX و MEXC را هدف قرار می‌دهد. این بدافزار همچنین کیف پول‌های محبوب از جمله Ledger، Trezor، MetaMask، Exodus، Uniswap، Phantom و Gnosis Safe را شکار می‌کند.

علاوه بر دارایی‌های ارز دیجیتال، Ghostblade پیامک، iMessage، تاریخچه تماس و مخاطبین را از دستگاه جمع‌آوری می‌کند. همچنین اطلاعات ورود Wi-Fi، کوکی‌های Safari، تاریخچه مرور و اطلاعات مکان را استخراج می‌کند. این بدافزار به داده‌های سلامت، عکس‌ها و تاریخچه پیام‌رسانی از Telegram و WhatsApp دسترسی پیدا می‌کند.

Ghostblade برای سرقت کوتاه‌مدت داده‌ها عمل می‌کند و فایل‌های موقت را حذف می‌کند و پس از استخراج خود را خاتمه می‌دهد. این طراحی اقدام سریع تضمین می‌کند که ردپاهای حداقلی در دستگاه آلوده باقی بماند. توانایی DarkSword در ارائه Ghostblade، افزایش هدف قرار دادن کاربران ارز دیجیتال را برجسته می‌کند.

استقرار جهانی و مکانیزم‌های آسیب‌پذیری

DarkSword در کمپین‌های هدفمند با استفاده از وب‌سایت‌های جعلی و پورتال‌های دولتی در معرض خطر مشاهده شده است. در عربستان سعودی، یک سایت با مضمون Snapchat برای آلوده کردن دستگاه‌ها از طریق DarkSword استفاده شد. زنجیره آسیب‌پذیری iframe ایجاد می‌کند و ماژول‌های اجرای کد از راه دور را برای ارائه بدافزار دریافت می‌کند.

آسیب‌پذیری‌های RCE مختلف در DarkSword نسخه‌های خاص iOS را هدف قرار می‌دهند، از جمله آسیب‌پذیری‌های خرابی حافظه و دور زدن PAC. منطق بارگذاری گاهی اوقات در تمایز نسخه‌های دستگاه شکست می‌خورد، که منعکس‌کننده استقرار سریع ابزار است. با وجود این، DarkSword به طور مداوم بارهای نهایی مانند Ghostknife و Ghostsaber را نصب می‌کند.

محققان آسیب‌پذیری‌ها را در اواخر سال 2025 به Apple گزارش دادند و وصله‌ها در iOS 26.3 گنجانده شدند. دامنه‌های مرتبط با ارائه DarkSword اکنون به لیست‌های Safe Browsing اضافه شده‌اند. از کاربران خواسته می‌شود دستگاه‌های iOS را به‌روزرسانی کنند یا حالت Lockdown را برای محافظت بیشتر در برابر کمپین‌های DarkSword فعال کنند.

DarkSword به عنوان یک تهدید قابل توجه برای کاربران ارز دیجیتال در دستگاه‌های iOS ظهور کرده است. پذیرش سریع این آسیب‌پذیری توسط عوامل متعدد نشان‌دهنده خطر رو به رشد برای دارایی‌های دیجیتال است. هدف قرار دادن صرافی‌ها، کیف پول‌ها و اطلاعات شخصی بر نیاز به به‌روزرسانی‌های فوری دستگاه تأکید می‌کند.

پست آسیب‌پذیری DarkSword به دستگاه‌های iOS حمله می‌کند و کاربران ارز دیجیتال را هدف قرار می‌دهد اولین بار در CoinCentral ظاهر شد.