Google Threat Intelligence выявила новое вредоносное ПО для кражи криптовалют под названием «Ghostblade», нацеленное на устройства Apple iOS. Описываемое как часть семейства инструментов DarkSword, Ghostblade разработан для быстрого и скрытного сбора приватных ключей и другой чувствительной информации, а не для постоянного присутствия на устройстве.
Написанный на JavaScript, Ghostblade активируется, собирает данные с скомпрометированного устройства и передает их злоумышленникам, после чего отключается. Исследователи отмечают, что дизайн вредоносного ПО усложняет его обнаружение, поскольку оно не требует дополнительных плагинов и прекращает работу после завершения сбора данных. Команда Google Threat Intelligence подчеркивает, что Ghostblade также предпринимает меры для избегания обнаружения, удаляя отчеты о сбоях, которые могли бы предупредить системы телеметрии Apple.
Помимо приватных ключей, вредоносное ПО способно получать и передавать сообщения из iMessage, Telegram и WhatsApp. Оно также может собирать информацию о SIM-карте, данных пользователя, мультимедийных файлах, геолокации и получать доступ к различным системным настройкам. Более широкая рамка DarkSword, к которой принадлежит Ghostblade, служит примером постоянно развивающихся угроз, демонстрирующих, как злоумышленники совершенствуют свои инструменты для атаки на крипто-пользователей.
Для тех, кто следит за тенденциями угроз, Ghostblade находится в одном ряду с другими компонентами цепочки эксплойтов DarkSword для iOS, описанными Google Threat Intelligence. Эти инструменты рассматриваются в контексте эволюции крипто-угроз, включая отчеты о эксплойт-кампаниях на базе iOS, используемых в фишинговых атаках.
Ключевые выводы
Ghostblade — это JavaScript-угроза для iOS, предназначенная для быстрого сбора данных в рамках экосистемы DarkSword и реализованная для быстрой эксфильтрации информации.
Вредоносное ПО работает недолго и не постоянно, что снижает вероятность долгосрочного захвата устройства и усложняет его обнаружение.
Оно может передавать чувствительные данные из iMessage, Telegram и WhatsApp, а также получать доступ к информации о SIM-карте, идентификационных данных, мультимедийным файлам, геолокации и системным настройкам, одновременно удаляя отчеты о сбоях для уклонения от обнаружения.
Разработка соответствует более широкому сдвигу в области угроз, ориентированных на социальную инженерию и извлечение данных, использующих человеческое поведение, а не только уязвимости программного обеспечения.
В феврале потери от крипто-взломов резко снизились до 49 миллионов долларов с 385 миллионов в январе, что свидетельствует о переходе от кодовых атак к фишингу и отравлению кошельков, сообщает Nominis.
Ghostblade и экосистема DarkSword: что известно
Исследователи Google описывают Ghostblade как компонент семейства DarkSword — набора браузерных вредоносных инструментов, нацеленных на крипто-пользователей через кражу приватных ключей и связанной информации. Ядро Ghostblade на JavaScript позволяет быстро взаимодействовать с устройством, оставаясь легким и временным. Такой дизайн соответствует другим недавним угрозам, ориентированным на устройство, которые предпочитают быстрые циклы эксфильтрации данных вместо продолжительных инфекций.
На практике возможности вредоносного ПО выходят за рамки простого кражи ключей. Получая доступ к мессенджерам, таким как iMessage, Telegram и WhatsApp, злоумышленники могут перехватывать разговоры, учетные данные и потенциально чувствительные вложения. Включение доступа к информации о SIM-карте и геолокации расширяет потенциальную поверхность атаки, позволяя реализовать более комплексные сценарии кражи личности и мошенничества. Важным аспектом является способность вредоносного ПО стирать отчеты о сбоях, что дополнительно усложняет расследование после заражения для жертв и защитников.
В рамках более широкой дискуссии о DarkSword Ghostblade подчеркивает продолжающуюся гонку вооружений в области угроз на устройстве. Google Threat Intelligence рассматривает DarkSword как один из последних примеров того, как злоумышленники совершенствуют цепочки атак на iOS, эксплуатируя высокий уровень доверия пользователей к своим устройствам и приложениям для ежедневной коммуникации и финансовых операций.
От кодовых атак к эксплойтам, основанным на человеческом факторе
Обзор ситуации с крипто-взломами в феврале 2026 года показывает заметный сдвиг в поведении злоумышленников. Согласно Nominis, общие потери от крипто-взломов снизились до 49 миллионов долларов в феврале, по сравнению с 385 миллионами в январе. Компания связывает снижение с переходом от чисто кодовых угроз к схемам, использующим человеческую ошибку, включая фишинг, отравление кошельков и другие социальные инженерные методы, заставляющие пользователей непреднамеренно раскрывать ключи или учетные данные.
Фишинг остается ключевой тактикой. Злоумышленники создают поддельные сайты, имитирующие легитимные платформы, с URL, похожими на реальные, чтобы заманить пользователей ввести приватные ключи, сид-фразы или пароли кошельков. Взаимодействие с такими интерфейсами — вход в систему, подтверждение транзакций или вставка чувствительных данных — дает злоумышленникам прямой доступ к средствам и учетным данным. Этот сдвиг в сторону эксплойтов, ориентированных на человека, требует от бирж, кошельков и пользователей усиления защиты, обучения и повышения бдительности.
Данные за февраль подтверждают общую тенденцию: несмотря на развитие кодовых уязвимостей и нулевых дней, большая часть риска для криптовладений исходит от социальных инженерных атак, использующих привычное поведение человека — доверие, срочность и использование знакомых интерфейсов. Для отрасли важно не только исправлять программные уязвимости, но и укреплять человеческий фактор через обучение, более надежную аутентификацию и безопасный опыт onboarding.
Практические рекомендации для пользователей, кошельков и разработчиков
Появление Ghostblade и тенденция к социальным атакам подчеркивают важность практических мер. Во-первых, гигиена устройства остается критичной. Обновление iOS, усиление защиты приложений и браузеров, использование аппаратных кошельков или защищенных enclave для приватных ключей повышают уровень защиты от быстрых атак.
Во-вторых, пользователи должны проявлять повышенную осторожность при использовании мессенджеров и веб-ресурсов. Совмещение доступа к данным на устройстве с фишинговыми уловками означает, что даже безобидные действия — открытие ссылки, подтверждение разрешения или вставка сид-фразы — могут стать каналом кражи. Многофакторная аутентификация, аутентификационные приложения и биометрические защиты помогают снизить риск, однако образование и скептицизм по поводу неожиданных запросов также крайне важны.
Для разработчиков важно внедрять антифишинговые механизмы, безопасные схемы управления ключами и прозрачные предупреждения пользователям о чувствительных операциях. Также необходимо продолжать обмен информацией о новых угрозах, особенно о тех, что сочетают браузерные инструменты и функции мобильных ОС. Межотраслевое сотрудничество остается ключевым для своевременного обнаружения новых цепочек эксплуатации.
Что ждать дальше
По мере того как Google Threat Intelligence и другие исследователи продолжают отслеживать активность, связанную с DarkSword, важно следить за обновлениями цепочек эксплойтов для iOS и появлением новых скрытных, краткосрочных вредоносных программ. Сдвиг в сторону уязвимостей, связанных с человеческим фактором, предполагает, что защитники должны усиливать как технические меры, так и обучение пользователей, чтобы снизить риск фишинга и отравления кошельков. Следующими важными этапами станут официальные рекомендации по угрозам для iOS, новые обнаружения от антивирусных компаний и адаптация платформ к противодействию этим новым сценариям.
Пока что важно внимательно следить за отчетами о Threat Intelligence — таких как публикации Google Threat Intelligence о DarkSword и связанных эксплойтах для iOS, а также анализами Nominis и других специалистов по безопасности блокчейна — для оценки рисков и совершенствования защиты от киберпреступлений в крипто-среде.
Данная статья первоначально опубликована как Google Threat Intel Flags Ghostblade as Crypto-Stealing Malware на Crypto Breaking News — вашем надежном источнике новостей о криптовалютах, Bitcoin и блокчейне.
