Google Threat Intelligence виявила новий шкідливий програмний забезпечення для крадіжки криптовалюти під назвою «Ghostblade», яке націлене на пристрої Apple iOS. Описується як частина сімейства інструментів DarkSword, що базуються на браузері, Ghostblade розроблений для швидкого та непомітного збору приватних ключів та інших чутливих даних, а не для постійної роботи на пристрої.
Написаний на JavaScript, Ghostblade активується, збирає дані з компрометованого пристрою та передає їх зловмисним серверам перед вимиканням. Дослідники зазначають, що така конструкція ускладнює виявлення, оскільки вона не потребує додаткових плагінів і припиняє роботу після завершення збору даних. Команда Google Threat Intelligence підкреслює, що Ghostblade також вживає заходів для уникнення виявлення, видаляючи звіти про збої, які інакше могли б сповістити системи телеметрії Apple.
Крім приватних ключів, шкідливий софт здатен отримувати та передавати повідомлення з iMessage, Telegram і WhatsApp. Він також може збирати інформацію про SIM-карту, дані ідентифікації користувача, мультимедійні файли, геолокацію та доступ до різних системних налаштувань. У рамках ширшої екосистеми DarkSword, до якої належить Ghostblade, Google називає цю групу інструментів частиною еволюційного набору загроз, що ілюструє, як зловмисники постійно вдосконалюють свої інструменти для цілей крипто-користувачів.
Для тих, хто слідкує за тенденціями загроз, Ghostblade є частиною інших компонентів експлойт-ланцюжка DarkSword для iOS, описаного Google Threat Intelligence. Цей набір інструментів розглядається у ширшому контексті еволюції крипто-загроз, включаючи звіти про експлойт-кіти для iOS, що використовуються у фішингових кампаніях.
Ключові висновки
Ghostblade — це загроза для iOS, заснована на JavaScript, яка викрадає криптовалюту в рамках екосистеми DarkSword і розроблена для швидкого виведення даних.
Шкідливий софт працює короткий час і не постійно, що зменшує ймовірність тривалого проникнення та ускладнює виявлення.
Він може передавати чутливі дані з iMessage, Telegram і WhatsApp, а також отримувати доступ до інформації про SIM-карту, ідентифікаційних даних, мультимедіа, геолокації та системних налаштувань, одночасно видаляючи звіти про збої для уникнення виявлення.
Розвиток цієї загрози відповідає ширшій тенденції у сфері безпеки, яка зосереджена не лише на вразливостях програмного забезпечення, а й на соціальній інженерії та витяганні даних, що використовують людські поведінкові особливості.
У лютому збитки від крипто-хакінгу знизилися до 49 мільйонів доларів із 385 мільйонів у січні, що свідчить про перехід від кодових атак до фішингу та атак на гаманці, повідомляє Nominis.
Ghostblade і екосистема DarkSword: що відомо
Дослідники Google описують Ghostblade як компонент сімейства DarkSword — набору браузерних шкідливих інструментів, що націлені на крипто-користувачів шляхом крадіжки приватних ключів та пов’язаних даних. Ядро Ghostblade на JavaScript дозволяє швидко взаємодіяти з пристроєм, залишаючись легким і тимчасовим. Це рішення відповідає тенденції останніх атак на пристрої, що віддають перевагу швидкому збору даних замість тривалих інфекцій.
Практично, можливості шкідливого софту виходять за межі простої крадіжки ключів. За допомогою доступу до месенджерів, таких як iMessage, Telegram і WhatsApp, зловмисники можуть перехоплювати розмови, облікові дані та потенційно чутливі вкладення. Включення доступу до SIM-карт і геолокації розширює потенційний спектр атак, дозволяючи більш комплексне викрадення особистих даних і шахрайство. Важливо, що здатність шкідливого софту стирати звіти про збої ще більше приховує активність, ускладнюючи розслідування для жертв і захисників.
Як частина ширшої дискусії про DarkSword, Ghostblade підкреслює постійну гонку озброєнь у сфері інтелекту загроз на пристроях. Google Threat Intelligence розглядає DarkSword як один із останніх прикладів того, як зловмисники вдосконалюють ланцюги атак на iOS, використовуючи довіру користувачів до своїх пристроїв і додатків для щоденної комунікації та фінансів.
Від кодових атак до експлойтів, що використовують людський фактор
Лютий 2026 року відзначився значним зсувом у поведінці зловмисників. За даними Nominis, загальні збитки від крипто-хакінгу знизилися до 49 мільйонів доларів у лютому з 385 мільйонів у січні. Компанія пояснює цей спад перехідом від чисто кодових загроз до схем, що використовують людські помилки, включаючи фішинг, отруєння гаманців та інші соціальні інженерні методи, що змушують користувачів випадково розкривати ключі або облікові дані.
Фішинг залишається основною тактикою. Зловмисники створюють фальшиві сайти, що імітують легітимні платформи, з URL, схожими на реальні, щоб заманити користувачів вводити приватні ключі, фрази відновлення або паролі гаманців. Взаємодія з цими підробками — будь то входження, підтвердження транзакцій або вставлення чутливих даних — дає зловмисникам прямий доступ до коштів і облікових записів. Такий перехід до атак, орієнтованих на людський фактор, змушує біржі, гаманці та користувачів посилювати захист через освіту, технічні засоби безпеки та обережність.
Ці дані підтверджують ширший тренд: хоча експлойти на рівні коду і нуль-дни продовжують розвиватися, більша частина ризиків для криптоволодінь походить від соціальних інженерних атак, що використовують усталені людські поведінки — довіру, терміновість і звичку користуватися знайомими інтерфейсами. Для галузі важливо не лише закривати вразливості програмного забезпечення, а й зміцнювати людський фактор безпеки через освіту, посилення автентифікації та безпечний старт для користувачів гаманців.
Практичні рекомендації для користувачів, гаманців і розробників
З’явлення Ghostblade і тенденція до людських атак підкреслюють кілька важливих висновків. По-перше, гігієна пристрою залишається критичною. Оновлення iOS, застосування заходів безпеки для додатків і браузерів, а також використання апаратних гаманців або захищених елементів для приватних ключів підвищують рівень захисту від швидкого витоку даних.
По-друге, користувачам слід бути особливо обережними з месенджерами та веб-інтерфейсами. Поєднання доступу до даних на пристрої з фішинговими схемами означає, що навіть безневинна дія — відкриття посилання, підтвердження дозволу або вставлення фрази — може стати воротами для крадіжки. Мультифакторна автентифікація, застосунки для автентифікації та біометричний захист допомагають зменшити ризик, але важливо також бути скептичним щодо несподіваних запитів.
Для розробників важливо впроваджувати засоби протидії фішингу, безпечні процеси управління ключами та прозорі попередження користувачів щодо чутливих операцій. Постійне обмінювання інформацією про загрози, особливо щодо атак на пристроях, що поєднують браузерні інструменти і функції мобільних ОС, є ключовим для виявлення нових схем до того, як вони стануть широко поширеними.
Що слід очікувати далі
Поки Google Threat Intelligence та інші дослідники продовжують відстежувати активність, пов’язану з DarkSword, слідкуйте за оновленнями щодо ланцюгів експлойтів для iOS та появи подібних прихованих, короткочасних шкідливих програм. Зміщення у лютому у бік людських факторів свідчить про майбутнє, де захисники повинні посилювати як технічний захист, так і освітні заходи для зменшення ризиків фішингу та атак на гаманці. Наступні важливі кроки — офіційні рекомендації з безпеки щодо крипто-загроз для iOS, нові виявлення від антивірусних компаній і адаптація платформ для боротьби з фішингом і шахрайством.
Поки що важливо стежити за звітами Google Threat Intelligence про DarkSword і пов’язані експлойти для iOS, а також за аналізами інших дослідників безпеки блокчейну, щоб оцінювати ризики і вдосконалювати захист від кіберзлочинності у криптовалютній сфері.
Цю статтю спершу опублікував Crypto Breaking News — ваш надійний джерело новин про криптовалюту, Bitcoin і блокчейн.
