Eksploitasi DarkSword Menyerang Perangkat iOS yang Menargetkan Pengguna Kripto

TLDR

• DarkSword menyerang iOS 18.4–18.7, mencuri dompet kripto dan data pribadi.

• Malware Ghostblade menargetkan Coinbase, Binance, Ledger, MetaMask, dan lainnya.

• Eksploitasi terpicu melalui situs palsu; tidak perlu tindakan pengguna untuk menginfeksi perangkat.

• Malware tahap akhir menghapus dirinya sendiri setelah mencuri data sensitif dengan cepat.

• Perbarui ke iOS 26.3 atau aktifkan Lockdown Mode untuk memblokir serangan DarkSword.

Rantai eksploitasi iOS baru bernama DarkSword secara aktif menargetkan perangkat yang menjalankan iOS 18.4 hingga 18.7. Eksploitasi ini memanfaatkan enam kerentanan zero-day untuk menginstal malware pada perangkat yang terkompromi. Beberapa aktor menyebarkan DarkSword terhadap pengguna di Arab Saudi, Ukraina, Malaysia, dan Turki.

DarkSword mengirimkan malware yang dirancang untuk mencuri data sensitif, termasuk kredensial login, riwayat panggilan, dan informasi lokasi. Ini secara khusus menargetkan aplikasi dan dompet cryptocurrency pada perangkat yang terinfeksi. Pengguna yang mengunjungi situs web yang terkompromi dapat secara tidak sadar memicu eksploitasi tanpa interaksi apa pun.

Peneliti keamanan siber telah mengidentifikasi beberapa keluarga malware tahap akhir yang disebarkan melalui DarkSword. Ini termasuk Ghostblade, Ghostknife, dan Ghostsaber, yang mengekstrak data dengan cepat dan menghapus diri sendiri setelahnya. Kampanye-kampanye tersebut menunjukkan adopsi DarkSword oleh vendor spyware komersial maupun aktor ancaman yang didukung negara.

Ghostblade Menargetkan Bursa Kripto dan Dompet

Ghostblade, yang disebarkan oleh DarkSword, secara aktif mencari aplikasi bursa cryptocurrency pada perangkat iOS. Ini menargetkan platform besar seperti Coinbase, Binance, Kraken, Kucoin, OKX, dan MEXC. Malware ini juga memburu dompet populer termasuk Ledger, Trezor, MetaMask, Exodus, Uniswap, Phantom, dan Gnosis Safe.

Selain aset kripto, Ghostblade mengumpulkan SMS, iMessage, riwayat panggilan, dan kontak dari perangkat. Ini juga mengekstraksi kredensial Wi-Fi, cookie Safari, riwayat penelusuran, dan informasi lokasi. Malware ini mengakses data kesehatan, foto, dan riwayat pesan dari Telegram dan WhatsApp.

Ghostblade beroperasi untuk pencurian data jangka pendek, menghapus file sementara dan menghentikan dirinya sendiri setelah ekstraksi. Desain aksi cepat ini memastikan jejak minimal yang tersisa pada perangkat yang terinfeksi. Kemampuan DarkSword untuk mengirimkan Ghostblade menyoroti peningkatan penargetan pengguna kripto.

Penyebaran Global dan Mekanisme Eksploitasi

DarkSword telah diamati dalam kampanye tertarget menggunakan situs web palsu dan portal pemerintah yang terkompromi. Di Arab Saudi, situs bertema Snapchat digunakan untuk menginfeksi perangkat melalui DarkSword. Rantai eksploitasi membuat iframe dan mengambil modul eksekusi kode jarak jauh untuk mengirimkan malware.

Eksploitasi RCE yang berbeda dalam DarkSword menargetkan versi iOS tertentu, termasuk kerentanan korupsi memori dan bypass PAC. Logika loader terkadang gagal membedakan versi perangkat, mencerminkan penyebaran cepat alat tersebut. Meskipun demikian, DarkSword secara konsisten menginstal payload tahap akhir seperti Ghostknife dan Ghostsaber.

Peneliti melaporkan kerentanan kepada Apple pada akhir 2025, dan perbaikan disertakan dalam iOS 26.3. Domain yang terkait dengan pengiriman DarkSword sekarang ditambahkan ke daftar Safe Browsing. Pengguna didesak untuk memperbarui perangkat iOS atau mengaktifkan Lockdown Mode untuk perlindungan tambahan terhadap kampanye DarkSword.

DarkSword telah muncul sebagai ancaman signifikan bagi pengguna cryptocurrency pada perangkat iOS. Adopsi cepat eksploitasi oleh beberapa aktor menandakan risiko yang meningkat terhadap aset digital. Penargetannya terhadap bursa, dompet, dan data pribadi menggarisbawahi kebutuhan untuk pembaruan perangkat segera.

Postingan DarkSword Exploit Hits iOS Devices Targeting Crypto Users pertama kali muncul di CoinCentral.