Exploatare DarkSword lovește dispozitive iOS vizând utilizatori de criptomonede

TLDR

• DarkSword afectează iOS 18.4–18.7, furând portofele cripto și date personale.

• Malware-ul Ghostblade vizează Coinbase, Binance, Ledger, MetaMask și altele.

• Exploatarea se declanșează prin site-uri false; nu este necesară nicio acțiune a utilizatorului pentru infectarea dispozitivelor.

• Malware-ul din etapa finală se auto-șterge după ce fură rapid date sensibile.

• Actualizați la iOS 26.3 sau activați Modul Lockdown pentru a bloca atacurile DarkSword.

Un nou lanț de exploatare iOS numit DarkSword vizează activ dispozitive care rulează iOS 18.4 până la 18.7. Exploatarea folosește șase vulnerabilități zero-day pentru a instala malware pe dispozitive compromise. Mai mulți actori desfășoară DarkSword împotriva utilizatorilor din Arabia Saudită, Ucraina, Malaezia și Turcia.

DarkSword livrează malware conceput pentru a fura date sensibile, inclusiv acreditări de autentificare, istoric de apeluri și informații de localizare. Acesta vizează în mod specific aplicații și portofele de criptomonede de pe dispozitivele infectate. Utilizatorii care vizitează site-uri web compromise pot declanșa fără să știe exploatarea fără nicio interacțiune.

Cercetătorii în securitate cibernetică au identificat mai multe familii de malware din etapa finală implementate prin DarkSword. Acestea includ Ghostblade, Ghostknife și Ghostsaber, care extrag date rapid și se auto-șterg ulterior. Campaniile arată adoptarea DarkSword atât de către furnizori comerciali de spyware, cât și de către actori amenințători susținuți de state.

Ghostblade vizează schimburi cripto și portofele

Ghostblade, implementat de DarkSword, caută activ aplicații de schimb de criptomonede pe dispozitive iOS. Vizează platforme majore precum Coinbase, Binance, Kraken, Kucoin, OKX și MEXC. Malware-ul vânează, de asemenea, portofele populare, inclusiv Ledger, Trezor, MetaMask, Exodus, Uniswap, Phantom și Gnosis Safe.

Pe lângă activele cripto, Ghostblade colectează SMS, iMessage, istoric de apeluri și contacte de pe dispozitiv. De asemenea, exfiltrează acreditări Wi-Fi, cookie-uri Safari, istoric de navigare și informații de localizare. Malware-ul accesează date de sănătate, fotografii și istoric de mesagerie din Telegram și WhatsApp.

Ghostblade operează pentru furtul de date pe termen scurt, ștergând fișiere temporare și terminându-se după extracție. Acest design de acțiune rapidă asigură că rămân urme minime pe dispozitivul infectat. Capacitatea DarkSword de a livra Ghostblade evidențiază creșterea vizării utilizatorilor de cripto.

Implementare globală și mecanica exploatării

DarkSword a fost observat în campanii țintite folosind site-uri false și portaluri guvernamentale compromise. În Arabia Saudită, un site tematic Snapchat a fost folosit pentru a infecta dispozitive prin DarkSword. Lanțul de exploatare creează iframe-uri și preia module de execuție de cod la distanță pentru a livra malware-ul.

Diferite exploatări RCE în DarkSword vizează versiuni specifice iOS, inclusiv vulnerabilități de corupere a memoriei și ocolire PAC. Logica de încărcare uneori nu reușește să diferențieze versiunile de dispozitiv, reflectând implementarea rapidă a instrumentului. În ciuda acestui fapt, DarkSword instalează în mod consecvent payload-uri din etapa finală precum Ghostknife și Ghostsaber.

Cercetătorii au raportat vulnerabilitățile către Apple la sfârșitul anului 2025, iar patch-urile au fost incluse în iOS 26.3. Domeniile legate de livrarea DarkSword sunt acum adăugate în listele Safe Browsing. Utilizatorii sunt îndemnați să actualizeze dispozitivele iOS sau să activeze Modul Lockdown pentru protecție suplimentară împotriva campaniilor DarkSword.

DarkSword a apărut ca o amenințare semnificativă pentru utilizatorii de criptomonede pe dispozitive iOS. Adoptarea rapidă a exploatării de către mai mulți actori semnalează un risc crescând pentru activele digitale. Vizarea schimburilor, portofelelor și datelor personale subliniază necesitatea actualizărilor imediate ale dispozitivelor.

Articolul DarkSword Exploit Hits iOS Devices Targeting Crypto Users a apărut mai întâi pe CoinCentral.