Исследователи Google обнаружили в природе цепочку эксплойтов для iOS, которая может использоваться для доставки вредоносного ПО, специально нацеленного на криптовалютные приложения на уязвимых iPhone. Эксплойт, получивший название DarkSword, использует шесть уязвимостей для развертывания вредоносного ПО на устройствах с iOS версиями 18.4–18.7, согласно исследованию. После того как пользователь посещает вредоносный или скомпрометированный сайт с уязвимым устройством, эксплойт используется для развертывания вредоносного ПО, включая JavaScript-основанный крадущий данные инструмент Ghostblade, который активно ищет такие крупные криптовалютные биржи, как Coinbase, Binance, Kraken, Kucoin, OKX и MEXC.
Ghostblade также ищет популярные криптовалютные кошельки, такие как Ledger, Trezor, MetaMask, Exodus, Uniswap, Phantom и Gnosis Safe, одновременно выводя сообщения SMS и iMessage, историю звонков, контакты, пароли Wi-Fi, cookies и историю браузера Safari, данные о местоположении, данные о здоровье, фотографии, сохранённые пароли и историю сообщений из Telegram и WhatsApp. Несколько групп используют этот эксплойт, от коммерческих поставщиков шпионского ПО до государственных групп, при этом кампании зафиксированы в Саудовской Аравии с использованием поддельного Snapchat, а также в Украине через скомпрометированные сайты, включая правительственный сайт. Ghostblade предназначен для быстрого кражи данных, а не для долгосрочного слежения — он собирает все доступные данные, затем удаляет временные файлы и завершает работу.
Это последний случай волны вредоносного ПО, нацеленного на пользователей криптовалют, включая вредоносное ПО Inferno Drainer, которое украло около 9 миллионов долларов у криптовалютных пользователей за шесть месяцев прошлого года, а также кампанию с поддельными Android-устройствами, предустановленными с вредоносным ПО для кражи криптовалют.