Шкідливе програмне забезпечення для iOS від Apple націлене на криптовалютні додатки на неоновлених iPhone: Google

Коротко

• Дослідники Google виявили ланцюг експлойтів для iOS під назвою DarkSword, який працює на iPhone з версіями iOS 18.4–18.7.
• Цей експлойт можна використовувати для доставки шкідливого програмного забезпечення Ghostblade, яке цілеспрямовано на криптовалютні додатки та гаманці.
• Спостерігаються кампанії з використанням DarkSword у Саудівській Аравії, Туреччині, Малайзії та Україні, де деякі атаки призвели до компрометації урядових сайтів.

Дослідники Google виявили в диких умовах ланцюг експлойтів для iOS, який можна використовувати для доставки шкідливого програмного забезпечення, що цілеспрямовано на криптовалютні додатки на вразливих iPhone. Згідно з дослідженнями, цей експлойт, під назвою DarkSword, використовує шість вразливостей для розгортання шкідливого ПЗ на пристроях з iOS версій 18.4–18.7. Якщо користувач відвідує зловмисний або скомпрометований сайт із вразливим пристроєм, експлойт використовується для розгортання шкідливого ПЗ, зокрема JavaScript-стільника даних Ghostblade, який активно шукає основні криптовалютні біржі, такі як Coinbase, Binance, Kraken, Kucoin, OKX і MEXC.

Ghostblade також шукає популярні криптовалютні гаманці, включаючи Ledger, Trezor, MetaMask, Exodus, Uniswap, Phantom і Gnosis Safe, одночасно витягуючи SMS і iMessage, історію дзвінків, контакти, паролі Wi-Fi, cookies і історію перегляду Safari, дані про місцезнаходження, медичні дані, фотографії, збережені паролі та історію повідомлень у Telegram і WhatsApp. Кілька груп використовують цей експлойт — від комерційних шпигунських компаній до державних груп, причому кампанії спостерігалися в Саудівській Аравії з фейковим додатком Snapchat і в Україні через скомпрометовані сайти, зокрема урядовий сайт.  Ghostblade створений для швидкого крадіжки даних, а не для довгострокового спостереження — він збирає всі доступні дані, потім видаляє тимчасові файли та завершує роботу.

Це останній випадок хвилі шкідливого ПЗ, спрямованого на користувачів криптовалют, включаючи шкідливе ПЗ Inferno Drainer, яке за шість місяців минулого року викрало близько 9 мільйонів доларів у криптовалютних користувачів, та кампанію з підробленими Android-смартфонами, попередньо завантаженими шкідливим ПЗ для крадіжки криптовалюти.