DarkSword Exploit Atakuje Urządzenia iOS, Celując w Użytkowników Kryptowalut

TLDR

• DarkSword atakuje iOS 18.4–18.7, kradnąc portfele kryptowalut i dane osobowe.

• Malware Ghostblade atakuje Coinbase, Binance, Ledger, MetaMask i inne.

• Exploit uruchamia się przez fałszywe strony; nie wymaga działania użytkownika do zainfekowania urządzeń.

• Malware końcowego etapu usuwa się po szybkim kradzieży wrażliwych danych.

• Zaktualizuj do iOS 26.3 lub włącz Tryb blokady, aby zablokować ataki DarkSword.

Nowy łańcuch exploitów iOS o nazwie DarkSword aktywnie atakuje urządzenia z systemem iOS 18.4 do 18.7. Exploit wykorzystuje sześć luk zero-day do instalacji złośliwego oprogramowania na zainfekowanych urządzeniach. Wielu aktorów wdraża DarkSword przeciwko użytkownikom w Arabii Saudyjskiej, Ukrainie, Malezji i Turcji.

DarkSword dostarcza złośliwe oprogramowanie zaprojektowane do kradzieży wrażliwych danych, w tym danych logowania, historii połączeń i informacji o lokalizacji. Specjalnie atakuje aplikacje kryptowalutowe i portfele na zainfekowanych urządzeniach. Użytkownicy odwiedzający zainfekowane strony mogą nieświadomie uruchomić exploit bez żadnej interakcji.

Badacze cyberbezpieczeństwa zidentyfikowali kilka rodzin malware'u końcowego etapu wdrażanych przez DarkSword. Należą do nich Ghostblade, Ghostknife i Ghostsaber, które szybko wydobywają dane i następnie się usuwają. Kampanie pokazują adopcję DarkSword zarówno przez komercyjnych dostawców oprogramowania szpiegowskiego, jak i aktorów wspieranych przez państwo.

Ghostblade atakuje giełdy kryptowalut i portfele

Ghostblade, wdrażany przez DarkSword, aktywnie wyszukuje aplikacje giełd kryptowalut na urządzeniach iOS. Atakuje główne platformy takie jak Coinbase, Binance, Kraken, Kucoin, OKX i MEXC. Malware poluje również na popularne portfele, w tym Ledger, Trezor, MetaMask, Exodus, Uniswap, Phantom i Gnosis Safe.

Oprócz zasobów kryptowalutowych, Ghostblade zbiera SMS-y, iMessage, historię połączeń i kontakty z urządzenia. Wykrada również dane logowania Wi-Fi, pliki cookie Safari, historię przeglądania i informacje o lokalizacji. Malware uzyskuje dostęp do danych zdrowotnych, zdjęć i historii wiadomości z Telegrama i WhatsAppa.

Ghostblade działa w celu krótkoterminowej kradzieży danych, usuwając pliki tymczasowe i kończąc swoje działanie po ekstrakcji. Ten projekt szybkiego działania zapewnia minimalne ślady na zainfekowanym urządzeniu. Zdolność DarkSword do dostarczania Ghostblade podkreśla rosnące targetowanie użytkowników kryptowalut.

Globalne wdrożenie i mechanika exploitu

DarkSword był obserwowany w ukierunkowanych kampaniach wykorzystujących fałszywe strony internetowe i zainfekowane portale rządowe. W Arabii Saudyjskiej strona stylizowana na Snapchata została użyta do infekowania urządzeń przez DarkSword. Łańcuch exploitów tworzy iframe'y i pobiera moduły zdalnego wykonywania kodu w celu dostarczenia malware'u.

Różne exploity RCE w DarkSword atakują konkretne wersje iOS, w tym luki w korupcji pamięci i omijaniu PAC. Logika loadera czasami nie rozróżnia wersji urządzeń, co odzwierciedla szybkie wdrożenie narzędzia. Pomimo tego, DarkSword konsekwentnie instaluje payloady końcowego etapu takie jak Ghostknife i Ghostsaber.

Badacze zgłosili luki do Apple pod koniec 2025 roku, a poprawki zostały uwzględnione w iOS 26.3. Domeny powiązane z dostarczaniem DarkSword są teraz dodawane do list Bezpiecznego przeglądania. Użytkownicy są zachęcani do aktualizacji urządzeń iOS lub włączenia Trybu blokady dla dodatkowej ochrony przed kampaniami DarkSword.

DarkSword stał się znaczącym zagrożeniem dla użytkowników kryptowalut na urządzeniach iOS. Szybka adopcja exploitu przez wielu aktorów sygnalizuje rosnące ryzyko dla zasobów cyfrowych. Jego targetowanie giełd, portfeli i danych osobowych podkreśla potrzebę natychmiastowych aktualizacji urządzeń.

Post DarkSword Exploit Hits iOS Devices Targeting Crypto Users pojawił się najpierw na CoinCentral.