Вредоносное ПО Apple iOS нацелено на крипто-приложения на непатченных iPhone: Google

Кратко

• Исследователи Google выявили цепочку эксплойтов для iOS под названием DarkSword, которая работает на iPhone с версиями iOS 18.4 по 18.7.
• Эксплойт может использоваться для доставки вредоносного ПО Ghostblade, специально нацеленного на приложения криптовалютных бирж и кошельков.
• Кампании с использованием DarkSword зафиксированы в Саудовской Аравии, Турции, Малайзии и Украине, при этом некоторые атаки приводили к компрометации государственных сайтов.

Исследователи Google обнаружили в природе цепочку эксплойтов для iOS, которая может использоваться для доставки вредоносного ПО, специально нацеленного на криптовалютные приложения на уязвимых iPhone. Эксплойт, получивший название DarkSword, использует шесть уязвимостей для развертывания вредоносного ПО на устройствах с iOS версиями 18.4–18.7, согласно исследованию. После того как пользователь посещает вредоносный или скомпрометированный сайт на уязвимом устройстве, эксплойт используется для установки вредоносных программ, включая JavaScript-основанный крадущий данные Ghostblade, который активно ищет основные приложения криптовалютных бирж, такие как Coinbase, Binance, Kraken, Kucoin, OKX и MEXC.

Ghostblade также ищет популярные приложения для хранения криптовалют, такие как Ledger, Trezor, MetaMask, Exodus, Uniswap, Phantom и Gnosis Safe, одновременно выводя из системы SMS и iMessage, историю звонков, контакты, пароли Wi-Fi, cookies и историю браузера Safari, данные о местоположении, здоровье, фотографии, сохранённые пароли, а также историю сообщений из Telegram и WhatsApp. Несколько групп используют этот эксплойт, от коммерческих поставщиков шпионского ПО до групп, поддерживаемых государством, при этом кампании зафиксированы в Саудовской Аравии с использованием поддельного Snapchat, а в Украине — через скомпрометированные сайты, включая государственный сайт.  Ghostblade предназначен для быстрого кражи данных, а не для долгосрочного слежения — он собирает все доступные данные, затем удаляет временные файлы и завершает работу.

Это последний случай волны вредоносных программ, нацеленных на пользователей криптовалют, среди которых вредоносное ПО Inferno Drainer, украшее около 9 миллионов долларов у криптовладельцев за шесть месяцев прошлого года, а также кампания с поддельными Android-устройствами, предустановленными с вредоносным ПО для кражи криптовалют.