Phần mềm độc hại trên iOS của Apple nhắm mục tiêu vào các ứng dụng tiền điện tử trên iPhone chưa được vá lỗi: Google

Tóm tắt

• Các nhà nghiên cứu của Google đã phát hiện ra chuỗi khai thác iOS gọi là DarkSword hoạt động trên các iPhone chạy iOS từ phiên bản 18.4 đến 18.7.
• Lỗ hổng này có thể được sử dụng để phát tán phần mềm độc hại Ghostblade, nhắm vào các ứng dụng trao đổi và ví tiền điện tử.
• Các chiến dịch sử dụng DarkSword đã được ghi nhận tại Ả Rập Xê-út, Thổ Nhĩ Kỳ, Malaysia và Ukraine, trong đó một số cuộc tấn công đã xâm phạm các trang web chính phủ.

Các nhà nghiên cứu của Google đã phát hiện ra một chuỗi khai thác iOS đang được sử dụng trong thực tế, có thể dùng để phát tán phần mềm độc hại nhắm vào các ứng dụng tiền điện tử trên các iPhone dễ bị tấn công. Lỗ hổng này, gọi là DarkSword, khai thác sáu lỗ hổng để triển khai phần mềm độc hại trên các thiết bị chạy iOS từ phiên bản 18.4 đến 18.7, theo nghiên cứu. Khi người dùng truy cập vào một trang web độc hại hoặc bị xâm phạm trên thiết bị dễ bị tấn công, lỗ hổng này sẽ được sử dụng để cài đặt phần mềm độc hại, bao gồm một trình đánh cắp dữ liệu dựa trên JavaScript gọi là Ghostblade, hoạt động tìm kiếm các ứng dụng trao đổi tiền điện tử lớn như Coinbase, Binance, Kraken, Kucoin, OKX và MEXC.

Ghostblade cũng tìm kiếm các ứng dụng ví tiền điện tử phổ biến như Ledger, Trezor, MetaMask, Exodus, Uniswap, Phantom và Gnosis Safe, đồng thời trích xuất tin nhắn SMS và iMessage, lịch sử cuộc gọi, danh bạ, mật khẩu Wi-Fi, cookie và lịch sử duyệt web Safari, dữ liệu vị trí, dữ liệu sức khỏe, ảnh, mật khẩu đã lưu, và lịch sử tin nhắn từ Telegram và WhatsApp. Nhiều tác nhân khác nhau đang triển khai lỗ hổng này, từ các nhà cung cấp phần mềm gián điệp thương mại đến các nhóm được nhà nước hậu thuẫn, với các chiến dịch được ghi nhận tại Ả Rập Xê-út sử dụng một ứng dụng giả mạo Snapchat, và tại Ukraine thông qua các trang web bị xâm phạm, bao gồm một trang web chính phủ. Ghostblade được thiết kế để trộm dữ liệu nhanh chóng thay vì giám sát lâu dài — nó thu thập tất cả dữ liệu có sẵn, sau đó xóa các tệp tạm thời và tự kết thúc hoạt động.

Đây là đợt mới nhất trong làn sóng phần mềm độc hại nhắm vào người dùng tiền điện tử, bao gồm phần mềm độc hại Inferno Drainer đã lấy đi khoảng 9 triệu USD từ người dùng tiền điện tử trong vòng sáu tháng vào năm ngoái, và một chiến dịch với điện thoại Android giả mạo đã được cài sẵn phần mềm độc hại trộm tiền điện tử.