Lỗ Hổng DarkSword Tấn Công Thiết Bị iOS Nhắm Vào Người Dùng Crypto

TÓM TẮT

• DarkSword tấn công iOS 18.4–18.7, đánh cắp ví crypto và dữ liệu cá nhân.

• Phần mềm độc hại Ghostblade nhắm mục tiêu Coinbase, Binance, Ledger, MetaMask và nhiều hơn nữa.

• Khai thác kích hoạt qua các trang web giả mạo; không cần hành động nào của người dùng để lây nhiễm thiết bị.

• Phần mềm độc hại giai đoạn cuối tự xóa sau khi đánh cắp dữ liệu nhạy cảm nhanh chóng.

• Cập nhật lên iOS 26.3 hoặc bật Chế độ Khóa để chặn các cuộc tấn công DarkSword.

Một chuỗi khai thác iOS mới có tên DarkSword đang tích cực nhắm mục tiêu các thiết bị chạy iOS 18.4 đến 18.7. Khai thác này tận dụng sáu lỗ hổng zero-day để cài đặt phần mềm độc hại trên các thiết bị bị xâm phạm. Nhiều tác nhân đang triển khai DarkSword chống lại người dùng ở Ả Rập Xê Út, Ukraine, Malaysia và Thổ Nhĩ Kỳ.

DarkSword phân phối phần mềm độc hại được thiết kế để đánh cắp dữ liệu nhạy cảm, bao gồm thông tin đăng nhập, lịch sử cuộc gọi và thông tin vị trí. Nó đặc biệt nhắm mục tiêu các ứng dụng tiền mã hóa và ví trên các thiết bị bị nhiễm. Người dùng truy cập các trang web bị xâm phạm có thể vô tình kích hoạt khai thác mà không cần bất kỳ tương tác nào.

Các nhà nghiên cứu an ninh mạng đã xác định một số họ phần mềm độc hại giai đoạn cuối được triển khai thông qua DarkSword. Chúng bao gồm Ghostblade, Ghostknife và Ghostsaber, trích xuất dữ liệu nhanh chóng và tự xóa sau đó. Các chiến dịch cho thấy sự chấp nhận DarkSword của cả các nhà cung cấp phần mềm gián điệp thương mại và các tác nhân đe dọa được nhà nước hỗ trợ.

Ghostblade Nhắm Mục Tiêu Các Sàn Giao Dịch Crypto và Ví

Ghostblade, được triển khai bởi DarkSword, chủ động tìm kiếm các ứng dụng sàn giao dịch tiền mã hóa trên thiết bị iOS. Nó nhắm mục tiêu các nền tảng lớn như Coinbase, Binance, Kraken, Kucoin, OKX và MEXC. Phần mềm độc hại cũng săn lùng các ví phổ biến bao gồm Ledger, Trezor, MetaMask, Exodus, Uniswap, Phantom và Gnosis Safe.

Ngoài tài sản crypto, Ghostblade thu thập tin nhắn SMS, iMessage, lịch sử cuộc gọi và danh bạ từ thiết bị. Nó cũng lấy thông tin đăng nhập Wi-Fi, cookie Safari, lịch sử duyệt web và thông tin vị trí. Phần mềm độc hại truy cập dữ liệu sức khỏe, ảnh và lịch sử tin nhắn từ Telegram và WhatsApp.

Ghostblade hoạt động để đánh cắp dữ liệu ngắn hạn, xóa các tệp tạm thời và tự kết thúc sau khi trích xuất. Thiết kế hành động nhanh này đảm bảo dấu vết tối thiểu còn lại trên thiết bị bị nhiễm. Khả năng cung cấp Ghostblade của DarkSword làm nổi bật việc nhắm mục tiêu ngày càng tăng đối với người dùng crypto.

Triển Khai Toàn Cầu và Cơ Chế Khai Thác

DarkSword đã được quan sát trong các chiến dịch có mục tiêu sử dụng các trang web giả mạo và cổng thông tin chính phủ bị xâm phạm. Ở Ả Rập Xê Út, một trang web theo chủ đề Snapchat đã được sử dụng để lây nhiễm thiết bị thông qua DarkSword. Chuỗi khai thác tạo iframe và tìm nạp các mô-đun thực thi mã từ xa để phân phối phần mềm độc hại.

Các khai thác RCE khác nhau trong DarkSword nhắm mục tiêu các phiên bản iOS cụ thể, bao gồm lỗ hổng lỗi bộ nhớ và bỏ qua PAC. Logic trình tải đôi khi không phân biệt được các phiên bản thiết bị, phản ánh việc triển khai nhanh chóng của công cụ. Mặc dù vậy, DarkSword liên tục cài đặt các payload giai đoạn cuối như Ghostknife và Ghostsaber.

Các nhà nghiên cứu đã báo cáo các lỗ hổng cho Apple vào cuối năm 2025 và các bản vá đã được đưa vào iOS 26.3. Các tên miền liên quan đến phân phối DarkSword hiện được thêm vào danh sách Safe Browsing. Người dùng được kêu gọi cập nhật thiết bị iOS hoặc bật Chế độ Khóa để bảo vệ bổ sung chống lại các chiến dịch DarkSword.

DarkSword đã nổi lên như một mối đe dọa đáng kể đối với người dùng tiền mã hóa trên thiết bị iOS. Việc nhiều tác nhân nhanh chóng chấp nhận khai thác này cho thấy rủi ro ngày càng tăng đối với tài sản kỹ thuật số. Việc nhắm mục tiêu các sàn giao dịch, ví và dữ liệu cá nhân nhấn mạnh nhu cầu cập nhật thiết bị ngay lập tức.

Bài viết DarkSword Exploit Hits iOS Devices Targeting Crypto Users xuất hiện đầu tiên trên CoinCentral.