Google Threat Intel позначає Ghostblade як крадіжку крипто-майнера

Google Threat Intelligence виявила новий шкідливий програмний забезпечення для крадіжки криптовалюти під назвою «Ghostblade», яке націлене на пристрої Apple iOS. Описується як частина сімейства інструментів DarkSword, Ghostblade розроблений для швидкого та прихованого збору приватних ключів та інших чутливих даних, а не для постійної роботи на пристрої.

Написаний на JavaScript, Ghostblade активується, збирає дані з компрометованого пристрою та передає їх зловмисним серверам перед вимкненням. Дослідники зазначають, що така конструкція ускладнює виявлення, оскільки шкідливий код не потребує додаткових плагінів і припиняє роботу після завершення збору даних. Команда Google Threat Intelligence підкреслює, що Ghostblade також вживає заходів для уникнення виявлення, видаляючи звіти про збої, які інакше могли б повідомити про активність системам телеметрії Apple.

Крім приватних ключів, шкідливий софт здатен отримувати та передавати повідомлення з iMessage, Telegram і WhatsApp. Він також може збирати інформацію про SIM-карту, ідентифікаційні дані користувача, мультимедійні файли, геолокацію та доступ до різних системних налаштувань. У рамках ширшої екосистеми DarkSword, до якої належить Ghostblade, Google називає цю групу інструментів частиною еволюційного набору загроз, що ілюструє, як зловмисники постійно вдосконалюють свої інструменти для цілей крипто-користувачів.

Для тих, хто слідкує за тенденціями загроз, Ghostblade є частиною інших компонентів експлойт-ланцюжка DarkSword для iOS, описаного Google Threat Intelligence. Цей набір інструментів розглядається у ширшому контексті еволюції крипто-загроз, включаючи звіти про експлойт-кіти для iOS, що використовуються у фішингових кампаніях.

Ключові висновки

Ghostblade — це загроза для iOS, заснована на JavaScript, яка краде криптовалюту в рамках екосистеми DarkSword і розроблена для швидкого витоку даних.

Шкідливий софт працює короткий час і не постійно, що зменшує ймовірність тривалого проникнення та ускладнює виявлення.

Він може передавати чутливі дані з iMessage, Telegram і WhatsApp, а також отримувати доступ до інформації про SIM-карту, ідентифікаційних даних, мультимедіа, геолокації та системних налаштувань, одночасно видаляючи звіти про збої для уникнення виявлення.

Розвиток цієї загрози відповідає ширшій тенденції у сфері безпеки, яка зосереджена не лише на вразливостях програмного забезпечення, а й на соціальній інженерії та витяганні даних через людський фактор.

У лютому збитки від крипто-хакінгу знизилися до 49 мільйонів доларів із 385 мільйонів у січні, що свідчить про перехід від кодових атак до фішингу та атак на гаманці, повідомляє Nominis.

Ghostblade та екосистема DarkSword: що відомо

Дослідники Google описують Ghostblade як компонент сімейства DarkSword — набору браузерних шкідливих інструментів, що націлені на крипто-користувачів шляхом крадіжки приватних ключів та пов’язаних даних. Ядро Ghostblade на JavaScript дозволяє швидко взаємодіяти з пристроєм, залишаючись легким і тимчасовим. Такий підхід відповідає іншим недавнім загрозам, що орієнтовані на швидкий витік даних.

Практично, можливості шкідливого софту виходять за межі простої крадіжки ключів. За допомогою доступу до месенджерів, таких як iMessage, Telegram і WhatsApp, зловмисники можуть перехоплювати розмови, облікові дані та потенційно чутливі вкладення. Включення доступу до SIM-карт і геолокації розширює потенційний спектр атак, дозволяючи більш комплексне викрадення особистих даних і шахрайство. Важливо, що здатність шкідливого софту стирати звіти про збої ще більше приховує активність, ускладнюючи розслідування для постраждалих і захисників.

Як частина ширшої дискусії про DarkSword, Ghostblade підкреслює постійну гонку озброєнь у сфері інтелекту загроз на пристроях. Google Threat Intelligence визначає DarkSword як один із останніх прикладів того, як зловмисники вдосконалюють ланцюги атак на iOS, використовуючи довіру користувачів до своїх пристроїв і додатків для щоденної комунікації та фінансів.

Від кодових атак до експлойтів, орієнтованих на людський фактор

Лютий 2026 року відзначився значним зсувом у поведінці зловмисників. За даними Nominis, загальні збитки від крипто-зломів у лютому знизилися до 49 мільйонів доларів із 385 мільйонів у січні. Компанія пояснює цей спад перехідом від чисто кодових загроз до схем, що використовують людські помилки, включаючи фішинг, отруєння гаманців та інші соціальні інженерні методи, що змушують користувачів випадково розкривати ключі або облікові дані.

Фішинг залишається основною тактикою. Зловмисники створюють фальшиві сайти, що імітують легітимні платформи, часто з URL, що нагадують реальні сайти, щоб заманити користувачів вводити приватні ключі, фрази або паролі гаманців. Взаємодія з цими підробками — входження, підтвердження транзакцій або вставлення чутливих даних — дає зловмисникам прямий доступ до коштів і облікових даних. Такий перехід до людських факторів змінює підходи до захисту бірж, гаманців і користувачів, підкреслюючи важливість освіти та технічних заходів безпеки.

Ці дані підтверджують ширший тренд: хоча експлойти на рівні коду і нуль-дни продовжують розвиватися, все більша частка ризиків для криптоактивів походить від соціальних інженерних атак, що використовують усталені людські поведінки — довіру, терміновість і звичку користуватися знайомими інтерфейсами. Для індустрії важливо не лише закривати вразливості програмного забезпечення, а й зміцнювати людський фактор безпеки через освіту, посилення автентифікації та безпечний старт для користувачів гаманців.

Що очікувати далі

Поки Google Threat Intelligence та інші дослідники продовжують відстежувати активність, пов’язану з DarkSword, слідкуйте за оновленнями щодо ланцюгів експлойтів для iOS та появи подібних прихованих, короткочасних шкідливих програм. Зміщення у лютому у бік людських вразливостей свідчить про майбутнє, де захисники повинні посилювати як технічні заходи, так і освітні програми для зменшення ризику фішингу та отруєння гаманців. Для читачів важливими будуть будь-які офіційні рекомендації з безпеки щодо крипто-загроз для iOS, нові виявлення від антивірусних компаній і адаптація платформами заходів протидії фішингу та шахрайству у відповідь на ці нові сценарії.

Поки що, слідкування за звітами Google Threat Intelligence щодо DarkSword і пов’язаних експлойтів для iOS, а також аналізами інших дослідників безпеки блокчейну, залишатиметься ключовим для оцінки ризиків і вдосконалення захисту від кіберзлочинності у криптовалютній сфері.

Цю статтю спершу опублікував Crypto Breaking News — ваш надійний джерело новин про криптовалюту, Bitcoin і блокчейн.