Шкідливе програмне забезпечення для iOS від Apple націлене на криптовалютні додатки на неоновлених iPhone: Google

Коротко

• Дослідники Google виявили ланцюг експлойтів для iOS під назвою DarkSword, який працює на iPhone з версіями iOS 18.4 до 18.7.
• Цей експлойт можна використовувати для доставки шкідливого програмного забезпечення Ghostblade, яке цілеспрямовано на криптовалютні додатки та гаманці.
• Спостерігаються кампанії з використанням DarkSword у Саудівській Аравії, Туреччині, Малайзії та Україні, де деякі атаки призвели до компрометації урядових сайтів.

Дослідники Google виявили в диких умовах ланцюг експлойтів для iOS, який можна використовувати для доставки шкідливого програмного забезпечення, цілеспрямовано орієнтованого на криптовалютні додатки на уразливих iPhone. Згідно з дослідженнями, цей експлойт, під назвою DarkSword, використовує шість вразливостей для розгортання шкідливого ПЗ на пристроях з iOS версій 18.4 до 18.7. Якщо користувач відвідує зловмисний або скомпрометований сайт із уразливим пристроєм, експлойт використовується для розгортання шкідливого ПЗ, зокрема JavaScript-базового крадія даних Ghostblade, який активно шукає основні криптовалютні біржі, такі як Coinbase, Binance, Kraken, Kucoin, OKX і MEXC.

Ghostblade також шукає популярні криптовалютні гаманці, включаючи Ledger, Trezor, MetaMask, Exodus, Uniswap, Phantom і Gnosis Safe, одночасно витягуючи SMS і iMessage, історію дзвінків, контакти, паролі Wi-Fi, cookies і історію переглядів у Safari, дані про місцезнаходження, медичні дані, фотографії, збережені паролі та історію повідомлень з Telegram і WhatsApp. Кілька груп використовують цей експлойт, від комерційних шпигунських компаній до державних груп, причому кампанії спостерігалися в Саудівській Аравії з фейковим Snapchat, а також в Україні через скомпрометовані сайти, включаючи урядовий сайт.  Ghostblade розроблений для швидкого крадіжки даних, а не для довгострокового спостереження — він збирає всі доступні дані, потім видаляє тимчасові файли та завершує свою роботу.

Це останній випадок хвилі шкідливого ПЗ, спрямованого на користувачів криптовалют, включаючи шкідливе ПЗ Inferno Drainer, яке за шість місяців минулого року викрало близько 9 мільйонів доларів у криптовалютних користувачів, а також кампанію з підробленими Android-смартфонами, попередньо завантаженими шкідливим ПЗ для крадіжки криптовалюти.