Експлойт DarkSword атакує iOS-пристрої, націлюючись на криптокористувачів

Коротко

• DarkSword вражає iOS 18.4–18.7, викрадаючи криптогаманці та особисті дані.

• Шкідливе ПЗ Ghostblade націлене на Coinbase, Binance, Ledger, MetaMask та інші.

• Експлойт активується через фальшиві сайти; для зараження пристроїв не потрібні дії користувача.

• Шкідливе ПЗ на фінальній стадії самовидаляється після швидкого викрадення конфіденційних даних.

• Оновіть до iOS 26.3 або увімкніть режим блокування, щоб заблокувати атаки DarkSword.

Новий ланцюг експлойтів iOS під назвою DarkSword активно націлений на пристрої з iOS 18.4–18.7. Експлойт використовує шість вразливостей нульового дня для встановлення шкідливого ПЗ на скомпрометовані пристрої. Кілька зловмисників розгортають DarkSword проти користувачів у Саудівській Аравії, Україні, Малайзії та Туреччині.

DarkSword поширює шкідливе ПЗ, призначене для викрадення конфіденційних даних, включно з обліковими даними, історією дзвінків та інформацією про місцезнаходження. Воно спеціально націлене на програми криптовалют та гаманці на заражених пристроях. Користувачі, що відвідують скомпрометовані веб-сайти, можуть мимоволі активувати експлойт без будь-якої взаємодії.

Дослідники кібербезпеки виявили кілька сімейств шкідливого ПЗ на фінальній стадії, розгорнутих через DarkSword. Серед них Ghostblade, Ghostknife та Ghostsaber, які швидко витягують дані та самовидаляються після цього. Кампанії демонструють впровадження DarkSword як комерційними постачальниками шпигунського ПЗ, так і державними зловмисниками.

Ghostblade націлений на криптобіржі та гаманці

Ghostblade, розгорнутий через DarkSword, активно шукає програми криптовалютних бірж на пристроях iOS. Він націлений на великі платформи, такі як Coinbase, Binance, Kraken, Kucoin, OKX та MEXC. Шкідливе ПЗ також полює на популярні гаманці, включно з Ledger, Trezor, MetaMask, Exodus, Uniswap, Phantom та Gnosis Safe.

Окрім криптоактивів, Ghostblade збирає SMS, iMessage, історію дзвінків та контакти з пристрою. Він також викрадає облікові дані Wi-Fi, файли cookie Safari, історію перегляду та інформацію про місцезнаходження. Шкідливе ПЗ отримує доступ до медичних даних, фотографій та історії повідомлень з Telegram та WhatsApp.

Ghostblade працює для короткострокового викрадення даних, видаляючи тимчасові файли та завершуючи роботу після вилучення. Такий дизайн швидкої дії гарантує, що на зараженому пристрої залишається мінімум слідів. Здатність DarkSword доставляти Ghostblade підкреслює зростання націлювання на користувачів криптовалют.

Глобальне розгортання та механіка експлойтів

DarkSword спостерігався в цільових кампаніях з використанням фальшивих веб-сайтів та скомпрометованих урядових порталів. У Саудівській Аравії для зараження пристроїв через DarkSword використовувався сайт у стилі Snapchat. Ланцюг експлойтів створює iframes та завантажує модулі віддаленого виконання коду для доставки шкідливого ПЗ.

Різні експлойти RCE в DarkSword націлені на конкретні версії iOS, включно з вразливостями пошкодження пам'яті та обходу PAC. Логіка завантажувача іноді не може розрізнити версії пристроїв, що відображає швидке розгортання інструменту. Незважаючи на це, DarkSword послідовно встановлює фінальні корисні навантаження, такі як Ghostknife та Ghostsaber.

Дослідники повідомили про вразливості Apple наприкінці 2025 року, і виправлення були включені в iOS 26.3. Домени, пов'язані з доставкою DarkSword, тепер додані до списків безпечного перегляду. Користувачам настійно рекомендується оновити пристрої iOS або увімкнути режим блокування для додаткового захисту від кампаній DarkSword.

DarkSword став значною загрозою для користувачів криптовалют на пристроях iOS. Швидке впровадження експлойту кількома зловмисниками сигналізує про зростання ризику для цифрових активів. Його націленість на біржі, гаманці та особисті дані підкреслює необхідність негайного оновлення пристроїв.

Публікація DarkSword Exploit Hits iOS Devices Targeting Crypto Users вперше з'явилася на CoinCentral.