O Google Threat Intelligence identificou um novo malware de roubo de criptomoedas chamado “Ghostblade” direcionado a dispositivos Apple iOS. Descrito como parte da família DarkSword de ferramentas baseadas em navegador, o Ghostblade foi desenvolvido para extrair chaves privadas e outros dados sensíveis de forma rápida e discreta, em vez de manter uma presença contínua e constante no dispositivo.
Escrito em JavaScript, o Ghostblade ativa-se, coleta dados do dispositivo comprometido e os transmite para servidores maliciosos antes de se desligar. Os investigadores observam que o design do malware torna mais difícil a sua deteção, pois não requer plugins adicionais e interrompe a operação assim que a extração de dados é concluída. A equipa de inteligência de ameaças do Google destaca que o Ghostblade também toma medidas para evitar a deteção, apagando relatórios de falhas que poderiam alertar os sistemas de telemetria da Apple.
Para além das chaves privadas, o malware consegue aceder e transmitir dados de mensagens do iMessage, Telegram e WhatsApp. Pode também recolher informações do cartão SIM, detalhes de identidade do utilizador, ficheiros multimédia, dados de geolocalização e aceder a várias configurações do sistema. O framework mais amplo DarkSword, ao qual o Ghostblade pertence, é citado pelo Google como parte de um conjunto de ameaças em evolução, ilustrando como os atacantes continuam a refinar as suas ferramentas para atingir utilizadores de criptomoedas.
Para os leitores que acompanham as tendências de ameaças, o Ghostblade surge ao lado de outros componentes da cadeia de exploração DarkSword no iOS, descritos pelo Google Threat Intelligence. Este conjunto de ferramentas é observado num contexto mais amplo de evolução das ameaças relacionadas com criptomoedas, incluindo relatórios sobre kits de exploração baseados em iOS utilizados em campanhas de phishing de criptomoedas.
Principais conclusões
O Ghostblade representa uma ameaça de roubo de criptomoedas baseada em JavaScript no iOS, integrada no ecossistema DarkSword e concebida para uma rápida exfiltração de dados.
O malware funciona de forma breve e não contínua, reduzindo a probabilidade de manter uma presença prolongada no dispositivo e dificultando a sua deteção.
Consegue transmitir dados sensíveis do iMessage, Telegram e WhatsApp, além de aceder a informações do cartão SIM, dados de identidade, multimédia, geolocalização e configurações do sistema, apagando também relatórios de falhas para evitar a deteção.
O desenvolvimento acompanha uma mudança mais ampla no panorama de ameaças, que passa a explorar mais táticas de engenharia social e extração de dados, aproveitando o comportamento humano, e não apenas vulnerabilidades de software.
As perdas por hacking de criptomoedas em fevereiro caíram drasticamente para 49 milhões de dólares, de 385 milhões em janeiro, sinalizando uma mudança de ataques baseados em código para técnicas de phishing e envenenamento de carteiras, segundo a Nominis.
Ghostblade e o ecossistema DarkSword: o que se sabe
Os investigadores do Google descrevem o Ghostblade como um componente da família DarkSword — um conjunto de ferramentas de malware baseadas em navegador que visam utilizadores de criptomoedas, roubando chaves privadas e dados relacionados. O núcleo em JavaScript do Ghostblade permite uma interação rápida com o dispositivo, mantendo-se leve e transitório. Esta escolha de design é consistente com outras ameaças recentes que preferem ciclos rápidos de exfiltração de dados em vez de infecções prolongadas.
Na prática, as capacidades do malware vão além do simples roubo de chaves. Ao aceder a aplicações de mensagens como iMessage, Telegram e WhatsApp, os atacantes podem interceptar conversas, credenciais e anexos potencialmente sensíveis. A inclusão de acesso a informações do cartão SIM e geolocalização amplia o potencial de ataque, possibilitando cenários mais abrangentes de roubo de identidade e fraude. Importa ainda destacar que a capacidade do malware de apagar relatórios de falhas torna a atividade mais difícil de detectar, dificultando a análise pós-infecção tanto para vítimas quanto para defensores.
Como parte do discurso mais amplo sobre DarkSword, o Ghostblade evidencia a corrida armamentista contínua na inteligência de ameaças em dispositivos. O Google Threat Intelligence enquadra o DarkSword como um dos exemplos mais recentes de como atores maliciosos continuam a refinar cadeias de ataque focadas no iOS, explorando a forte confiança que os utilizadores depositam nos seus dispositivos e aplicações para comunicação diária e finanças.
De ataques centrados em código a explorações de fator humano
O panorama de hacking de criptomoedas de fevereiro de 2026 reflete uma mudança significativa no comportamento dos atacantes. Segundo a Nominis, as perdas totais de ataques a criptomoedas caíram para 49 milhões de dólares em fevereiro, uma redução acentuada face aos 385 milhões de janeiro. A empresa atribui esta diminuição a uma mudança de ataques puramente baseados em código para esquemas que exploram erros humanos, incluindo tentativas de phishing, envenenamento de carteiras e outras táticas de engenharia social que levam os utilizadores a revelar inadvertidamente chaves ou credenciais.
O phishing continua a ser uma tática central. Os atacantes criam sites falsos que imitam plataformas legítimas, muitas vezes com URLs semelhantes às reais, para enganar os utilizadores e levá-los a inserir chaves privadas, frases-semente ou passwords de carteiras. Quando os utilizadores interagem com estas interfaces falsas — ao fazer login, aprovar transações ou colar dados sensíveis — os atacantes obtêm acesso direto aos fundos e credenciais. Esta mudança para explorações dirigidas ao fator humano tem implicações na forma como as trocas, carteiras e utilizadores devem defender-se, reforçando a importância da educação do utilizador juntamente com medidas técnicas de proteção.
O dado de fevereiro reforça uma narrativa mais ampla na indústria: enquanto as explorações de código e zero-days continuam a evoluir, uma fatia crescente do risco para as posições em criptomoedas advém de explorações de engenharia social que exploram comportamentos humanos bem estabelecidos — confiança, urgência e o uso habitual de interfaces familiares. Para os profissionais do setor, a conclusão não é apenas sobre corrigir vulnerabilidades de software, mas também sobre fortalecer o elemento humano da segurança através de educação, autenticação mais robusta e experiências de onboarding mais seguras para os utilizadores de carteiras.
Implicações para utilizadores, carteiras e desenvolvedores
A emergência do Ghostblade — e a tendência associada de ataques centrados no fator humano — destaca várias lições práticas para utilizadores e desenvolvedores. Primeiro, a higiene do dispositivo continua a ser fundamental. Manter o iOS atualizado, aplicar medidas de reforço de aplicações e browsers, e usar carteiras de hardware ou enclaves seguros para chaves privadas pode elevar o nível de proteção contra ataques de rápida exfiltração.
Em segundo lugar, os utilizadores devem exercer maior cautela com aplicações de mensagens e interfaces web. A combinação de acesso a dados no dispositivo com táticas de phishing significa que até interações aparentemente inofensivas — abrir um link, aprovar uma permissão ou colar uma frase-semente — podem tornar-se uma porta de entrada para roubo. A autenticação multifator, aplicações de autenticação e proteções biométricas podem ajudar a reduzir riscos, mas a educação e o ceticismo perante pedidos inesperados são igualmente essenciais.
Para os construtores, o caso Ghostblade reforça a importância de controlos anti-phishing, fluxos seguros de gestão de chaves e avisos transparentes aos utilizadores sobre operações sensíveis. Reforça também o valor do intercâmbio contínuo de inteligência de ameaças — especialmente no que diz respeito a ameaças em dispositivos que combinam ferramentas baseadas em navegador com funcionalidades do sistema operativo móvel. A colaboração entre setores continua a ser fundamental para detectar cadeias de exploração inovadoras antes que se tornem amplamente eficazes.
O que esperar a seguir
À medida que o Google Threat Intelligence e outros investigadores continuam a monitorizar atividades relacionadas com DarkSword, os observadores devem acompanhar atualizações sobre cadeias de exploração no iOS e o surgimento de malware igualmente furtivo e de curta duração. A mudança de fevereiro para vulnerabilidades relacionadas com o fator humano sugere um futuro em que os defensores terão de reforçar tanto as salvaguardas técnicas quanto a educação dos utilizadores para reduzir a exposição a esquemas de phishing e envenenamento de carteiras. Para os leitores, os próximos marcos incluem quaisquer avisos oficiais de inteligência de ameaças sobre ameaças de criptomoedas no iOS, novas deteções por fornecedores de segurança e como as principais plataformas adaptam as suas medidas anti-phishing e de prevenção de fraudes em resposta a estes novos padrões de ataque.
Entretanto, manter uma vigilância constante sobre os mecanismos de inteligência de ameaças — como os relatórios do Google Threat Intelligence sobre DarkSword e explorações relacionadas no iOS, juntamente com análises contínuas da Nominis e outros investigadores de segurança blockchain — será essencial para avaliar riscos e aprimorar defesas contra o cibercrime focado em criptomoedas.
Este artigo foi originalmente publicado como Google Threat Intel Flags Ghostblade as Malware de Roubo de Criptomoedas na Crypto Breaking News — a sua fonte de confiança para notícias de criptomoedas, Bitcoin e atualizações de blockchain.
