Το Exploit DarkSword Πλήττει Συσκευές iOS Στοχεύοντας Χρήστες Κρυπτονομισμάτων

TLDR

• Το DarkSword χτυπά το iOS 18.4–18.7, κλέβοντας πορτοφόλια κρυπτονομισμάτων και προσωπικά δεδομένα.

• Το malware Ghostblade στοχεύει Coinbase, Binance, Ledger, MetaMask και άλλα.

• Η εκμετάλλευση ενεργοποιείται μέσω ψεύτικων ιστοσελίδων· δεν απαιτείται ενέργεια χρήστη για να μολυνθούν οι συσκευές.

• Το malware τελικού σταδίου αυτοδιαγράφεται αφού κλέψει ευαίσθητα δεδομένα γρήγορα.

• Ενημερώστε σε iOS 26.3 ή ενεργοποιήστε τη Λειτουργία Κλειδώματος για να μπλοκάρετε τις επιθέσεις DarkSword.

Μια νέα αλυσίδα εκμετάλλευσης iOS που ονομάζεται DarkSword στοχεύει ενεργά συσκευές που εκτελούν iOS 18.4 έως 18.7. Η εκμετάλλευση αξιοποιεί έξι ευπάθειες μηδενικής ημέρας για να εγκαταστήσει malware σε παραβιασμένες συσκευές. Πολλοί δράστες αναπτύσσουν το DarkSword εναντίον χρηστών στη Σαουδική Αραβία, την Ουκρανία, τη Μαλαισία και την Τουρκία.

Το DarkSword παραδίδει malware σχεδιασμένο να κλέβει ευαίσθητα δεδομένα, συμπεριλαμβανομένων διαπιστευτηρίων σύνδεσης, ιστορικού κλήσεων και πληροφοριών τοποθεσίας. Στοχεύει συγκεκριμένα εφαρμογές κρυπτονομισμάτων και πορτοφόλια σε μολυσμένες συσκευές. Οι χρήστες που επισκέπτονται παραβιασμένους ιστότοπους μπορούν να ενεργοποιήσουν εν αγνοία τους την εκμετάλλευση χωρίς καμία αλληλεπίδραση.

Οι ερευνητές κυβερνοασφάλειας έχουν εντοπίσει αρκετές οικογένειες malware τελικού σταδίου που αναπτύσσονται μέσω του DarkSword. Αυτές περιλαμβάνουν τα Ghostblade, Ghostknife και Ghostsaber, που εξάγουν δεδομένα γρήγορα και αυτοδιαγράφονται στη συνέχεια. Οι εκστρατείες δείχνουν την υιοθέτηση του DarkSword τόσο από εμπορικούς προμηθευτές λογισμικού κατασκοπείας όσο και από απειλητικούς παράγοντες που υποστηρίζονται από κράτη.

Το Ghostblade Στοχεύει Ανταλλακτήρια και Πορτοφόλια Κρυπτονομισμάτων

Το Ghostblade, που αναπτύσσεται από το DarkSword, αναζητά ενεργά εφαρμογές ανταλλακτηρίων κρυπτονομισμάτων σε συσκευές iOS. Στοχεύει μεγάλες πλατφόρμες όπως Coinbase, Binance, Kraken, Kucoin, OKX και MEXC. Το malware επίσης κυνηγά δημοφιλή πορτοφόλια συμπεριλαμβανομένων των Ledger, Trezor, MetaMask, Exodus, Uniswap, Phantom και Gnosis Safe.

Εκτός από τα κρυπτοπεριουσιακά στοιχεία, το Ghostblade συλλέγει SMS, iMessage, ιστορικό κλήσεων και επαφές από τη συσκευή. Επίσης εξάγει διαπιστευτήρια Wi-Fi, cookies Safari, ιστορικό περιήγησης και πληροφορίες τοποθεσίας. Το malware έχει πρόσβαση σε δεδομένα υγείας, φωτογραφίες και ιστορικό μηνυμάτων από Telegram και WhatsApp.

Το Ghostblade λειτουργεί για βραχυπρόθεσμη κλοπή δεδομένων, διαγράφοντας προσωρινά αρχεία και τερματίζοντας τον εαυτό του μετά την εξαγωγή. Αυτός ο σχεδιασμός γρήγορης δράσης διασφαλίζει ότι παραμένουν ελάχιστα ίχνη στη μολυσμένη συσκευή. Η ικανότητα του DarkSword να παραδίδει το Ghostblade υπογραμμίζει τη συνεχιζόμενη στόχευση χρηστών κρυπτονομισμάτων.

Παγκόσμια Ανάπτυξη και Μηχανισμοί Εκμετάλλευσης

Το DarkSword έχει παρατηρηθεί σε στοχευμένες εκστρατείες χρησιμοποιώντας ψεύτικους ιστότοπους και παραβιασμένες κυβερνητικές πύλες. Στη Σαουδική Αραβία, χρησιμοποιήθηκε ένας ιστότοπος με θέμα Snapchat για να μολύνει συσκευές μέσω του DarkSword. Η αλυσίδα εκμετάλλευσης δημιουργεί iframes και ανακτά ενότητες απομακρυσμένης εκτέλεσης κώδικα για να παραδώσει το malware.

Διαφορετικές εκμεταλλεύσεις RCE στο DarkSword στοχεύουν συγκεκριμένες εκδόσεις iOS, συμπεριλαμβανομένων ευπαθειών καταστροφής μνήμης και παράκαμψης PAC. Η λογική του φορτωτή μερικές φορές αποτυγχάνει να διαφοροποιήσει τις εκδόσεις συσκευών, αντανακλώντας την ταχεία ανάπτυξη του εργαλείου. Παρά αυτό, το DarkSword εγκαθιστά με συνέπεια τελικά φορτία όπως Ghostknife και Ghostsaber.

Οι ερευνητές ανέφεραν τις ευπάθειες στην Apple στα τέλη του 2025 και οι διορθώσεις συμπεριλήφθηκαν στο iOS 26.3. Τα domains που συνδέονται με την παράδοση του DarkSword προστίθενται τώρα στις λίστες Ασφαλούς Περιήγησης. Οι χρήστες καλούνται να ενημερώσουν τις συσκευές iOS ή να ενεργοποιήσουν τη Λειτουργία Κλειδώματος για πρόσθετη προστασία ενάντια στις εκστρατείες DarkSword.

Το DarkSword έχει αναδειχθεί ως σημαντική απειλή για τους χρήστες κρυπτονομισμάτων σε συσκευές iOS. Η ταχεία υιοθέτηση της εκμετάλλευσης από πολλούς δράστες σηματοδοτεί έναν αυξανόμενο κίνδυνο για τα ψηφιακά περιουσιακά στοιχεία. Η στόχευση ανταλλακτηρίων, πορτοφολιών και προσωπικών δεδομένων υπογραμμίζει την ανάγκη για άμεσες ενημερώσεις συσκευών.

Η ανάρτηση DarkSword Exploit Hits iOS Devices Targeting Crypto Users εμφανίστηκε πρώτα στο CoinCentral.