Исследователи Google обнаружили активную эксплуатацию цепочки уязвимостей под названием DarkSword, нацеленной на устройства iPhone под управлением iOS версий от 18.4 до 18.7. Эксплойт использует шесть уязвимостей нулевого дня для установки вредоносного ПО, в частности, штамма Ghostblade, который целенаправленно ищет и крадёт данные из приложений криптобирж и кошельков.
Целевые приложения включают ведущие криптобиржи: Coinbase, Binance, Kraken, Kucoin, OKX и MEXC, а также популярные криптокошельки: Ledger, Trezor, MetaMask, Exodus, Uniswap, Phantom и Gnosis Safe. Помимо этого, вредоносная программа собирает SMS, историю звонков, контакты, пароли от Wi-Fi, куки и историю Safari, данные о местоположении, медицинскую информацию, фотографии, сохранённые пароли и историю сообщений из Telegram и WhatsApp.
Заражение происходит при посещении пользователем с уязвимым устройством скомпрометированного или поддельного веб-сайта, при этом не требуется никаких действий со стороны пользователя. Атаки с использованием DarkSword были зафиксированы в Саудовской Аравии, Турции, Малайзии и Украине. В некоторых случаях злоумышленники использовали поддельную версию Snapchat или взламывали правительственные сайты.
Ghostblade разработан для быстрого сбора данных, а не для долгосрочного наблюдения: после извлечения всей доступной информации программа удаляет свои временные файлы и завершает работу, чтобы минимизировать следы. Помимо Ghostblade, через DarkSword также распространяются другие финальные полезные нагрузки, такие как Ghostknife и Ghostsaber.
Уязвимости были сообщены Apple в конце 2025 года, и исправления для них включены в iOS версии 26.3. Пользователям настоятельно рекомендуется обновить операционную систему или включить режим Lockdown Mode для защиты. Данные атаки стали частью растущей волны вредоносного ПО, нацеленного на криптопользователей, вслед за такими угрозами, как Inferno Drainer, который за полгода украл около $9 млн.
