ملخص سريع
حدد باحثو جوجل سلسلة استغلال لنظام iOS تُستخدم في البرية ويمكن استخدامها لنشر برمجية خبيثة تستهدف تطبيقات العملات المشفرة على هواتف iPhone الضعيفة. يُطلق على الاستغلال اسم DarkSword، ويستغل ست ثغرات لنشر البرمجية الخبيثة على الأجهزة التي تعمل بإصدارات iOS من 18.4 إلى 18.7، وفقًا للبحث. عند زيارة المستخدم لموقع إلكتروني خبيث أو مخترق باستخدام جهاز ضعيف، يُستخدم الاستغلال لنشر البرمجية الخبيثة، بما في ذلك أداة سرقة بيانات تعتمد على جافا سكريبت تُسمى Ghostblade، والتي تبحث بنشاط عن تطبيقات تبادل العملات المشفرة الكبرى مثل Coinbase و Binance و Kraken و Kucoin و OKX و MEXC.
كما يبحث Ghostblade عن تطبيقات المحافظ الرقمية الشهيرة مثل Ledger و Trezor و MetaMask و Exodus و Uniswap و Phantom و Gnosis Safe، مع سرقة رسائل SMS و iMessage وسجل المكالمات وجهات الاتصال وكلمات مرور Wi-Fi وملفات تعريف الارتباط وسجل التصفح في Safari وبيانات الموقع والبيانات الصحية والصور وكلمات المرور المحفوظة وسجل الرسائل من Telegram و WhatsApp. يستخدم العديد من الجهات الفاعلة الاستغلال، بدءًا من بائعي برامج التجسس التجارية إلى مجموعات مدعومة من الدول، مع رصد حملات في السعودية باستخدام تطبيق مزيف يشبه Snapchat، وفي أوكرانيا من خلال مواقع مخترقة بما في ذلك موقع حكومي. تم تصميم Ghostblade لسرقة البيانات بسرعة بدلاً من المراقبة طويلة الأمد — حيث يجمع كل البيانات المتاحة، ثم يحذف ملفات مؤقتة وينهي نفسه.
هذه أحدث موجة من البرمجيات الخبيثة التي تستهدف مستخدمي العملات المشفرة، بما في ذلك برمجية Inferno Drainer التي سرقت حوالي 9 ملايين دولار من مستخدمي العملات المشفرة خلال ستة أشهر العام الماضي، وحملة تم فيها تحميل هواتف أندرويد مزيفة مسبقًا تحتوي على برمجية خبيثة تسرق العملات المشفرة.