Malware do iOS da Apple Tem como Alvo Aplicações Cripto em iPhones Sem Atualização: Google

Resumo

• Os investigadores do Google identificaram uma cadeia de exploração do iOS chamada DarkSword que funciona contra iPhones com versões do iOS 18.4 a 18.7.
• A exploração pode ser usada para entregar malware Ghostblade que visa especificamente aplicações de troca e carteiras de criptomoedas.
• Campanhas usando DarkSword foram observadas na Arábia Saudita, Turquia, Malásia e Ucrânia, com alguns ataques comprometendo websites governamentais.

Os investigadores do Google identificaram uma cadeia de exploração do iOS sendo usada na natureza que pode ser utilizada para entregar malware que visa especificamente aplicações de criptomoedas em iPhones vulneráveis. A exploração, denominada DarkSword, aproveita seis vulnerabilidades para implantar malware em dispositivos com versões do iOS 18.4 a 18.7, de acordo com a pesquisa. Assim que um utilizador visita um website malicioso ou comprometido com um dispositivo vulnerável, a exploração é usada para implantar malware, incluindo um ladrão de dados baseado em JavaScript chamado Ghostblade, que procura ativamente por principais aplicações de troca de criptomoedas como Coinbase, Binance, Kraken, Kucoin, OKX e MEXC.

O Ghostblade também procura por aplicações populares de carteiras de criptomoedas, incluindo Ledger, Trezor, MetaMask, Exodus, Uniswap, Phantom e Gnosis Safe, enquanto exfiltra simultaneamente mensagens SMS e iMessage, histórico de chamadas, contactos, passwords de Wi-Fi, cookies e histórico de navegação do Safari, dados de localização, dados de saúde, fotos, passwords guardados e histórico de mensagens do Telegram e WhatsApp. Vários atores estão a usar a exploração, desde fornecedores comerciais de spyware até grupos apoiados pelo Estado, com campanhas observadas na Arábia Saudita usando uma cópia falsa do Snapchat, e na Ucrânia através de websites comprometidos, incluindo um site governamental.  O Ghostblade foi desenhado para roubo rápido de dados, em vez de vigilância a longo prazo — recolhe todos os dados disponíveis, depois apaga os ficheiros temporários e termina a sua operação.

Esta é a mais recente de uma vaga de malware direcionada a utilizadores de criptomoedas, incluindo o malware Inferno Drainer, que roubou cerca de 9 milhões de dólares de utilizadores de criptomoedas ao longo de seis meses no ano passado, e uma campanha que utilizou smartphones Android falsificados pré-carregados com malware que rouba criptomoedas.