ملخص سريع
حدد باحثو جوجل سلسلة استغلال لنظام iOS تُستخدم في البرية ويمكن استخدامها لنشر برمجية خبيثة تستهدف تطبيقات العملات المشفرة على هواتف iPhone الضعيفة. تسمى الثغرة DarkSword، وتستغل ست ثغرات لنشر البرمجية الخبيثة على الأجهزة التي تعمل بإصدارات iOS من 18.4 إلى 18.7، وفقًا للبحث. عند زيارة المستخدم لموقع إلكتروني خبيث أو مخترق باستخدام جهاز ضعيف، يُستخدم الاستغلال لنشر البرمجية الخبيثة، بما في ذلك أداة سرقة بيانات تعتمد على جافا سكريبت تُدعى Ghostblade، والتي تبحث بنشاط عن تطبيقات تبادل العملات المشفرة الكبرى مثل Coinbase و Binance و Kraken و Kucoin و OKX و MEXC.
كما يبحث Ghostblade عن تطبيقات المحافظ المشهورة مثل Ledger و Trezor و MetaMask و Exodus و Uniswap و Phantom و Gnosis Safe، مع سرقة رسائل SMS و iMessage وسجل المكالمات وجهات الاتصال وكلمات مرور Wi-Fi وملفات تعريف الارتباط وسجل التصفح في Safari، وبيانات الموقع، وبيانات الصحة، والصور، وكلمات المرور المحفوظة، وسجل الرسائل من Telegram و WhatsApp. يستخدم العديد من الجهات الثغرة، بدءًا من بائعي برامج التجسس التجارية إلى مجموعات مدعومة من الدول، مع رصد حملات في السعودية باستخدام تطبيق مزيف يشبه Snapchat، وفي أوكرانيا عبر مواقع مخترقة بما في ذلك موقع حكومي. تم تصميم Ghostblade لسرقة البيانات بسرعة بدلاً من المراقبة طويلة الأمد — حيث يجمع كل البيانات المتاحة، ثم يحذف ملفات مؤقتة وينهي نفسه.
هذه أحدث موجة من البرمجيات الخبيثة التي تستهدف مستخدمي العملات المشفرة، بما في ذلك برمجية Inferno Drainer التي سرقت حوالي 9 ملايين دولار من مستخدمي العملات المشفرة خلال ستة أشهر العام الماضي، وحملة تم فيها تحميل هواتف أندرويد مزيفة تحتوي على برمجية خبيثة تسرق العملات المشفرة.