Investigadores do Google identificaram uma cadeia de exploração do iOS em uso no mundo real que pode ser usada para entregar malware que visa especificamente aplicações de criptomoedas em iPhones vulneráveis. A exploração, chamada DarkSword, aproveita seis vulnerabilidades para implantar malware em dispositivos com iOS versões 18.4 a 18.7, segundo a pesquisa. Assim que um utilizador visita um website malicioso ou comprometido com um dispositivo vulnerável, a exploração é usada para implantar malware, incluindo um ladrão de dados baseado em JavaScript chamado Ghostblade, que procura ativamente por principais aplicações de troca de criptomoedas como Coinbase, Binance, Kraken, Kucoin, OKX e MEXC.
Ghostblade também procura por aplicações populares de carteiras de criptomoedas, incluindo Ledger, Trezor, MetaMask, Exodus, Uniswap, Phantom e Gnosis Safe, enquanto exfiltra simultaneamente mensagens SMS e iMessage, histórico de chamadas, contactos, passwords de Wi-Fi, cookies e histórico de navegação do Safari, dados de localização, dados de saúde, fotos, passwords guardados e histórico de mensagens do Telegram e WhatsApp. Vários atores estão a usar a exploração, desde fornecedores comerciais de spyware até grupos apoiados pelo Estado, com campanhas observadas na Arábia Saudita usando uma cópia falsa do Snapchat, e na Ucrânia através de websites comprometidos, incluindo um site governamental. Ghostblade foi desenhado para roubo rápido de dados, ao invés de vigilância a longo prazo — coleta todos os dados disponíveis, depois apaga os ficheiros temporários e termina a sua operação.
Esta é a mais recente de uma onda de malware direcionado a utilizadores de criptomoedas, incluindo o malware Inferno Drainer, que roubou cerca de 9 milhões de dólares de utilizadores de criptomoedas ao longo de seis meses no ano passado, e uma campanha que utilizou smartphones Android falsificados pré-carregados com malware de roubo de criptomoedas.