Эксплойт DarkSword атакует устройства iOS, нацеливаясь на крипто-пользователей

Коротко

• DarkSword поражает iOS 18.4–18.7, похищая криптокошельки и персональные данные.

• Вредоносное ПО Ghostblade нацелено на Coinbase, Binance, Ledger, MetaMask и другие.

• Эксплойт активируется через поддельные сайты; действия пользователя для заражения устройств не требуются.

• Вредоносное ПО конечной стадии самоудаляется после быстрого похищения конфиденциальных данных.

• Обновитесь до iOS 26.3 или включите режим блокировки для защиты от атак DarkSword.

Новая цепочка эксплойтов iOS под названием DarkSword активно нацелена на устройства с iOS 18.4–18.7. Эксплойт использует шесть уязвимостей нулевого дня для установки вредоносного ПО на скомпрометированные устройства. Множество злоумышленников развертывают DarkSword против пользователей в Саудовской Аравии, Украине, Малайзии и Турции.

DarkSword доставляет вредоносное ПО, предназначенное для кражи конфиденциальных данных, включая учетные данные для входа, историю звонков и информацию о местоположении. Оно специально нацелено на приложения криптовалют и кошельки на зараженных устройствах. Пользователи, посещающие скомпрометированные веб-сайты, могут неосознанно активировать эксплойт без какого-либо взаимодействия.

Исследователи кибербезопасности выявили несколько семейств вредоносного ПО конечной стадии, развернутых через DarkSword. К ним относятся Ghostblade, Ghostknife и Ghostsaber, которые быстро извлекают данные и затем самоудаляются. Кампании показывают принятие DarkSword как коммерческими поставщиками шпионского ПО, так и поддерживаемыми государством киберпреступниками.

Ghostblade нацелен на криптобиржи и кошельки

Ghostblade, развернутый через DarkSword, активно ищет приложения криптовалютных бирж на устройствах iOS. Он нацелен на крупные платформы, такие как Coinbase, Binance, Kraken, Kucoin, OKX и MEXC. Вредоносное ПО также охотится за популярными кошельками, включая Ledger, Trezor, MetaMask, Exodus, Uniswap, Phantom и Gnosis Safe.

Помимо криптоактивов, Ghostblade собирает SMS, iMessage, историю звонков и контакты с устройства. Он также похищает учетные данные Wi-Fi, cookies Safari, историю просмотров и информацию о местоположении. Вредоносное ПО получает доступ к данным о здоровье, фотографиям и истории сообщений из Telegram и WhatsApp.

Ghostblade работает для краткосрочной кражи данных, удаляя временные файлы и завершая свою работу после извлечения. Эта быстрая конструкция гарантирует, что на зараженном устройстве остается минимум следов. Способность DarkSword доставлять Ghostblade подчеркивает растущее нацеливание на пользователей криптовалют.

Глобальное развертывание и механика эксплойтов

DarkSword наблюдался в целевых кампаниях с использованием поддельных веб-сайтов и скомпрометированных правительственных порталов. В Саудовской Аравии сайт в стиле Snapchat использовался для заражения устройств через DarkSword. Цепочка эксплойтов создает iframe и загружает модули удаленного выполнения кода для доставки вредоносного ПО.

Различные RCE-эксплойты в DarkSword нацелены на конкретные версии iOS, включая уязвимости повреждения памяти и обхода PAC. Логика загрузчика иногда не может различить версии устройств, что отражает быстрое развертывание инструмента. Несмотря на это, DarkSword последовательно устанавливает полезные нагрузки конечной стадии, такие как Ghostknife и Ghostsaber.

Исследователи сообщили об уязвимостях Apple в конце 2025 года, и исправления были включены в iOS 26.3. Домены, связанные с распространением DarkSword, теперь добавлены в списки безопасного просмотра. Пользователям настоятельно рекомендуется обновить устройства iOS или включить режим блокировки для дополнительной защиты от кампаний DarkSword.

DarkSword стал серьезной угрозой для пользователей криптовалют на устройствах iOS. Быстрое принятие эксплойта множеством злоумышленников сигнализирует о растущем риске для цифровых активов. Его нацеленность на биржи, кошельки и персональные данные подчеркивает необходимость немедленного обновления устройств.

Публикация «Эксплойт DarkSword поражает устройства iOS, нацеливаясь на пользователей криптовалют» впервые появилась на CoinCentral.