DarkSword 漏洞攻击 iOS 设备，针对加密货币用户

摘要

• DarkSword 攻击 iOS 18.4–18.7,窃取加密钱包和个人数据。

• Ghostblade 恶意软件针对 Coinbase、Binance、Ledger、MetaMask 等。

• 漏洞通过假网站触发;无需用户操作即可感染设备。

• 最终阶段恶意软件在快速窃取敏感数据后自我删除。

• 更新至 iOS 26.3 或启用锁定模式以阻止 DarkSword 攻击。

一个名为 DarkSword 的新 iOS 漏洞利用链正在积极针对运行 iOS 18.4 至 18.7 的设备。该漏洞利用六个零日漏洞在受感染设备上安装恶意软件。多个攻击者正在针对沙特阿拉伯、乌克兰、马来西亚和土耳其的用户部署 DarkSword。

DarkSword 传播旨在窃取敏感数据的恶意软件,包括登录凭证、通话记录和位置信息。它专门针对受感染设备上的加密货币应用程序和钱包。用户访问被入侵的网站时可能在不知情的情况下触发该漏洞,无需任何交互。

网络安全研究人员已识别出通过 DarkSword 部署的几个最终阶段恶意软件家族。其中包括 Ghostblade、Ghostknife 和 Ghostsaber,它们快速提取数据并在之后自我删除。这些活动显示 DarkSword 被商业间谍软件供应商和国家支持的威胁行为者采用。

Ghostblade 针对加密货币交易所和钱包

由 DarkSword 部署的 Ghostblade 主动搜索 iOS 设备上的加密货币交易所应用程序。它针对主要平台,如 Coinbase、Binance、Kraken、Kucoin、OKX 和 MEXC。该恶意软件还搜寻流行钱包,包括 Ledger、Trezor、MetaMask、Exodus、Uniswap、Phantom 和 Gnosis Safe。

除了加密资产外,Ghostblade 还从设备收集短信、iMessage、通话记录和联系人。它还窃取 Wi-Fi 凭证、Safari cookies、浏览历史和位置信息。该恶意软件访问健康数据、照片以及来自 Telegram 和 WhatsApp 的消息历史。

Ghostblade 进行短期数据窃取,在提取后删除临时文件并终止自身。这种快速行动设计确保受感染设备上留下的痕迹最少。DarkSword 传播 Ghostblade 的能力突显了对加密货币用户的针对性攻击日益增加。

全球部署和漏洞利用机制

DarkSword 已被观察到在使用假网站和被入侵的政府门户网站的针对性活动中。在沙特阿拉伯,一个 Snapchat 主题网站被用于通过 DarkSword 感染设备。该漏洞利用链创建 iframe 并获取远程代码执行模块以传播恶意软件。

DarkSword 中的不同 RCE 漏洞针对特定的 iOS 版本,包括内存损坏和 PAC 绕过漏洞。加载器逻辑有时无法区分设备版本,反映了该工具的快速部署。尽管如此,DarkSword 仍持续安装最终阶段有效载荷,如 Ghostknife 和 Ghostsaber。

研究人员在 2025 年底向 Apple 报告了这些漏洞,补丁已包含在 iOS 26.3 中。与 DarkSword 传播相关的域名现已添加到安全浏览列表中。敦促用户更新 iOS 设备或启用锁定模式以增加对 DarkSword 活动的保护。

DarkSword 已成为 iOS 设备上加密货币用户的重大威胁。该漏洞被多个攻击者快速采用,标志着数字资产面临日益增长的风险。它针对交易所、钱包和个人数据,强调了立即更新设备的必要性。

文章 DarkSword 漏洞攻击 iOS 设备针对加密货币用户 首次发布于 CoinCentral。