DarkSword Exploit โจมตีอุปกรณ์ iOS กำหนดเป้าหมายผู้ใช้คริปโต

สรุปย่อ

• DarkSword โจมตี iOS 18.4–18.7 ขโมยกระเป๋าเงินคริปโตและข้อมูลส่วนตัว

• มัลแวร์ Ghostblade กำหนดเป้าหมายที่ Coinbase, Binance, Ledger, MetaMask และอื่นๆ

• การโจมตีเริ่มต้นผ่านเว็บไซต์ปลอม ไม่จำเป็นต้องมีการดำเนินการใดๆ จากผู้ใช้เพื่อติดเชื้ออุปกรณ์

• มัลแวร์ขั้นสุดท้ายจะลบตัวเองหลังจากขโมยข้อมูลสำคัญอย่างรวดเร็ว

• อัปเดตเป็น iOS 26.3 หรือเปิดใช้งานโหมด Lockdown เพื่อป้องกันการโจมตีของ DarkSword

ช่องโหว่การโจมตีบน iOS ตัวใหม่ที่เรียกว่า DarkSword กำลังกำหนดเป้าหมายอุปกรณ์ที่ใช้ iOS 18.4 ถึง 18.7 อย่างแข็งขัน การโจมตีใช้ประโยชน์จากช่องโหว่ zero-day หกช่องโหว่เพื่อติดตั้งมัลแวร์บนอุปกรณ์ที่ถูกบุกรุก มีหลายกลุ่มที่ปล่อย DarkSword โจมตีผู้ใช้ในซาอุดีอาระเบีย ยูเครน มาเลเซีย และตุรกี

DarkSword ส่งมอบมัลแวร์ที่ออกแบบมาเพื่อขโมยข้อมูลสำคัญ รวมถึงข้อมูลประจำตัวการเข้าสู่ระบบ ประวัติการโทร และข้อมูลตำแหน่งที่ตั้ง โดยเฉพาะกำหนดเป้าหมายไปที่แอปและกระเป๋าเงินคริปโตบนอุปกรณ์ที่ติดเชื้อ ผู้ใช้ที่เข้าชมเว็บไซต์ที่ถูกบุกรุกอาจกระตุ้นการโจมตีโดยไม่รู้ตัวโดยไม่ต้องมีการโต้ตอบใดๆ

นักวิจัยด้านความปลอดภัยทางไซเบอร์ได้ระบุตัวตนของมัลแวร์ตระกูลขั้นสุดท้ายหลายตัวที่ถูกปล่อยผ่าน DarkSword ซึ่งรวมถึง Ghostblade, Ghostknife และ Ghostsaber ที่สกัดข้อมูลอย่างรวดเร็วและลบตัวเองหลังจากนั้น แคมเปญต่างๆ แสดงให้เห็นการนำ DarkSword ไปใช้โดยทั้งผู้จำหน่ายสปายแวร์เชิงพาณิชย์และกลุ่มคุกคามที่ได้รับการสนับสนุนจากรัฐ

Ghostblade กำหนดเป้าหมายที่แลกเปลี่ยนคริปโตและกระเป๋าเงิน

Ghostblade ที่ถูกปล่อยโดย DarkSword ค้นหาแอปพลิเคชันแลกเปลี่ยนคริปโตบนอุปกรณ์ iOS อย่างแข็งขัน กำหนดเป้าหมายที่แพลตฟอร์มหลักเช่น Coinbase, Binance, Kraken, Kucoin, OKX และ MEXC มัลแวร์ยังตามล่ากระเป๋าเงินยอดนิยมรวมถึง Ledger, Trezor, MetaMask, Exodus, Uniswap, Phantom และ Gnosis Safe

นอกจากสินทรัพย์คริปโตแล้ว Ghostblade ยังรวบรวม SMS, iMessage, ประวัติการโทร และรายชื่อติดต่อจากอุปกรณ์ นอกจากนี้ยังขโมยข้อมูลประจำตัว Wi-Fi, คุกกี้ Safari, ประวัติการเข้าชมเว็บ และข้อมูลตำแหน่งที่ตั้ง มัลแวร์เข้าถึงข้อมูลสุขภาพ รูปภาพ และประวัติข้อความจาก Telegram และ WhatsApp

Ghostblade ทำงานเพื่อขโมยข้อมูลระยะสั้น ลบไฟล์ชั่วคราวและยุติการทำงานของตัวเองหลังจากสกัดข้อมูล การออกแบบที่ดำเนินการอย่างรวดเร็วนี้ทำให้แน่ใจว่ามีร่องรอยเหลืออยู่บนอุปกรณ์ที่ติดเชื้อน้อยที่สุด ความสามารถของ DarkSword ในการส่งมอบ Ghostblade เน้นย้ำการกำหนดเป้าหมายที่เพิ่มขึ้นของผู้ใช้คริปโต

การปล่อยทั่วโลกและกลไกการโจมตี

DarkSword ถูกสังเกตในแคมเปญที่กำหนดเป้าหมายโดยใช้เว็บไซต์ปลอมและพอร์ทัลของรัฐบาลที่ถูกบุกรุก ในซาอุดีอาระเบีย มีการใช้เว็บไซต์ธีม Snapchat เพื่อติดเชื้ออุปกรณ์ผ่าน DarkSword ห่วงโซ่การโจมตีสร้าง iframe และดึงโมดูลการรันโค้ดระยะไกลเพื่อส่งมอบมัลแวร์

การโจมตี RCE ที่แตกต่างกันใน DarkSword กำหนดเป้าหมายที่เวอร์ชัน iOS เฉพาะ รวมถึงช่องโหว่ memory corruption และ PAC bypass ตรรกะของตัวโหลดบางครั้งล้มเหลวในการแยกแยะเวอร์ชันของอุปกรณ์ สะท้อนให้เห็นถึงการปล่อยเครื่องมืออย่างรวดเร็ว แม้จะเป็นเช่นนั้น DarkSword ก็ยังคงติดตั้ง payload ขั้นสุดท้ายอย่าง Ghostknife และ Ghostsaber อย่างสม่ำเสมอ

นักวิจัยรายงานช่องโหว่ให้ Apple ทราบในช่วงปลายปี 2025 และแพตช์ถูกรวมอยู่ใน iOS 26.3 โดเมนที่เชื่อมโยงกับการส่งมอบ DarkSword ได้ถูกเพิ่มเข้าสู่รายการ Safe Browsing แล้ว ผู้ใช้ควรอัปเดตอุปกรณ์ iOS หรือเปิดใช้งานโหมด Lockdown เพื่อการปกป้องเพิ่มเติมต่อแคมเปญ DarkSword

DarkSword ได้กลายเป็นภัยคุกคามสำคัญต่อผู้ใช้คริปโตบนอุปกรณ์ iOS การนำไปใช้อย่างรวดเร็วโดยหลายกลุ่มส่งสัญญาณถึงความเสี่ยงที่เพิ่มขึ้นต่อสินทรัพย์ดิจิทัล การกำหนดเป้าหมายที่แลกเปลี่ยน กระเป๋าเงิน และข้อมูลส่วนตัวเน้นย้ำถึงความจำเป็นในการอัปเดตอุปกรณ์ทันที

โพสต์ DarkSword Exploit Hits iOS Devices Targeting Crypto Users ปรากฏครั้งแรกบน CoinCentral