簡要
- Google 研究人員已識別出一個名為 DarkSword 的 iOS 利用鏈,該鏈針對運行 iOS 18.4 至 18.7 版本的 iPhone 發動攻擊。
- 該漏洞可用於傳送 Ghostblade 惡意軟件,專門針對加密貨幣交易所和錢包應用程序。
- 使用 DarkSword 的攻擊活動已在沙烏地阿拉伯、土耳其、馬來西亞和烏克蘭被觀察到,其中一些攻擊破壞了政府網站。
Google 研究人員已在實際環境中識別出一個用於傳送專門針對加密貨幣應用程序的惡意軟件的 iOS 利用鏈。根據研究,該漏洞被命名為 DarkSword,利用六個漏洞在運行 iOS 18.4 至 18.7 的設備上部署惡意軟件。一旦用戶訪問含有惡意或被破壞的網站,該漏洞就會被用來部署惡意軟件,包括一個基於 JavaScript 的數據竊取工具 Ghostblade,該工具會積極搜尋主要的加密貨幣交易所應用程序,如 Coinbase、Binance、Kraken、Kucoin、OKX 和 MEXC。
Ghostblade 也會搜尋流行的加密貨幣錢包應用程序,包括 Ledger、Trezor、MetaMask、Exodus、Uniswap、Phantom 和 Gnosis Safe,同時竊取短信和 iMessage 訊息、通話記錄、聯絡人、Wi-Fi 密碼、Safari 的 Cookies 和瀏覽歷史、位置數據、健康數據、照片、已保存的密碼,以及 Telegram 和 WhatsApp 的訊息記錄。多個攻擊者正在部署此漏洞,範圍從商業間諜軟件供應商到國家支持的團體,沙烏地阿拉伯的攻擊活動中使用了假 Snapchat 模仿品,烏克蘭則通過被破壞的網站,包括政府網站進行攻擊。
Ghostblade 設計用於快速數據竊取,而非長期監控——它會收集所有可用數據,然後刪除臨時文件並自行終止。
這是針對加密貨幣用戶的最新一波惡意軟件攻擊,包括去年六個月內竊取約九百萬美元的 Inferno Drainer 惡意軟件,以及一場預裝加密竊取惡意軟件的假冒 Android 智能手機的攻擊活動。
