Tóm tắt
Các nhà nghiên cứu của Google đã phát hiện ra một chuỗi khai thác iOS đang được sử dụng trong thực tế, có thể dùng để phát tán phần mềm độc hại nhắm vào các ứng dụng tiền điện tử trên các iPhone dễ bị tấn công. Theo nghiên cứu, lỗ hổng này, gọi là DarkSword, lợi dụng sáu lỗ hổng để triển khai phần mềm độc hại trên các thiết bị chạy iOS từ phiên bản 18.4 đến 18.7. Khi người dùng truy cập vào một trang web độc hại hoặc bị xâm phạm trên thiết bị dễ bị tấn công, lỗ hổng này sẽ được khai thác để cài đặt phần mềm độc hại, trong đó có Ghostblade, một phần mềm đánh cắp dữ liệu dựa trên JavaScript, hoạt động tìm kiếm các ứng dụng trao đổi tiền điện tử lớn như Coinbase, Binance, Kraken, Kucoin, OKX và MEXC.
Ghostblade cũng tìm kiếm các ứng dụng ví tiền điện tử phổ biến như Ledger, Trezor, MetaMask, Exodus, Uniswap, Phantom và Gnosis Safe, đồng thời trích xuất tin nhắn SMS và iMessage, lịch sử cuộc gọi, danh bạ, mật khẩu Wi-Fi, cookie và lịch sử duyệt web Safari, dữ liệu vị trí, dữ liệu sức khỏe, ảnh, mật khẩu đã lưu, và lịch sử tin nhắn từ Telegram và WhatsApp. Nhiều nhóm tấn công khác nhau đang khai thác lỗ hổng này, từ các nhà cung cấp phần mềm gián điệp thương mại đến các nhóm được nhà nước hậu thuẫn, với các chiến dịch được quan sát tại Ả Rập Xê-út sử dụng một trang web giả mạo Snapchat, và tại Ukraine thông qua các trang web bị xâm phạm, bao gồm cả trang web chính phủ. Ghostblade được thiết kế để đánh cắp dữ liệu nhanh chóng thay vì giám sát lâu dài — nó thu thập tất cả dữ liệu có sẵn, sau đó xóa các tệp tạm thời và tự kết thúc hoạt động.
Đây là đợt tấn công mới nhất trong làn sóng phần mềm độc hại nhắm vào người dùng tiền điện tử, bao gồm phần mềm độc hại Inferno Drainer đã lấy đi khoảng 9 triệu USD của người dùng tiền điện tử trong vòng sáu tháng vào năm ngoái, và một chiến dịch sử dụng điện thoại Android giả mạo đã được cài sẵn phần mềm độc hại đánh cắp tiền điện tử.