Google Threat Intelligence đã phát hiện một phần mềm độc hại mới chuyên trộm tiền điện tử có tên “Ghostblade” nhắm vào các thiết bị Apple iOS. Được mô tả là một phần của gia đình công cụ dựa trên trình duyệt DarkSword, Ghostblade được thiết kế để rút private keys và dữ liệu nhạy cảm khác trong một đợt nhanh chóng, kín đáo thay vì duy trì hoạt động liên tục trên thiết bị.
Viết bằng JavaScript, Ghostblade kích hoạt, thu thập dữ liệu từ thiết bị bị xâm nhập và truyền về các máy chủ độc hại trước khi tắt. Các nhà nghiên cứu nhận xét rằng thiết kế của phần mềm độc hại này khiến việc phát hiện trở nên khó khăn hơn, vì nó không yêu cầu plugin bổ sung và dừng hoạt động khi hoàn tất việc trích xuất dữ liệu. Đội ngũ Threat Intelligence của Google nhấn mạnh rằng Ghostblade còn thực hiện các bước để tránh bị phát hiện bằng cách xóa các báo cáo lỗi gây ra cảnh báo cho hệ thống telemetry của Apple.
Ngoài private keys, phần mềm độc hại còn có khả năng truy cập và truyền dữ liệu tin nhắn từ iMessage, Telegram và WhatsApp. Nó cũng có thể thu thập thông tin SIM, dữ liệu nhận dạng người dùng, tệp đa phương tiện, dữ liệu định vị và truy cập các cài đặt hệ thống khác. Khung công cụ DarkSword rộng hơn, trong đó Ghostblade thuộc về, được Google coi là một phần của bộ các mối đe dọa đang phát triển, minh họa cách các hacker liên tục tinh chỉnh bộ công cụ của họ để nhắm vào người dùng tiền điện tử.
Đối với những người theo dõi xu hướng mối đe dọa, Ghostblade nằm cùng với các thành phần khác của chuỗi khai thác iOS DarkSword do Google Threat Intelligence mô tả. Bộ công cụ này nằm trong bối cảnh rộng hơn của sự tiến hóa các mối đe dọa tiền điện tử, bao gồm các báo cáo về các bộ khai thác dựa trên iOS được sử dụng trong các chiến dịch lừa đảo qua crypto.
Các điểm chính
Ghostblade là mối đe dọa trộm tiền điện tử dựa trên JavaScript trên iOS, thuộc hệ sinh thái DarkSword và được thiết kế để trích xuất dữ liệu nhanh chóng.
Phần mềm hoạt động trong thời gian ngắn và không liên tục, giảm khả năng chiếm giữ lâu dài trên thiết bị và làm phức tạp việc phát hiện.
Nó có thể truyền dữ liệu nhạy cảm từ iMessage, Telegram, WhatsApp, truy cập thông tin SIM, dữ liệu nhận dạng, đa phương tiện, định vị và cài đặt hệ thống, đồng thời xóa các báo cáo lỗi để tránh bị phát hiện.
Sự phát triển này phù hợp với xu hướng rộng hơn trong lĩnh vực mối đe dọa, chuyển hướng sang các chiến thuật khai thác tâm lý và trích xuất dữ liệu dựa trên hành vi con người, chứ không chỉ dựa vào lỗ hổng phần mềm.
Trong tháng 2, thiệt hại do hacker tiền điện tử giảm mạnh xuống còn 49 triệu USD từ mức 385 triệu USD vào tháng 1, theo Nominis, cho thấy sự chuyển hướng từ các cuộc xâm nhập dựa trên mã nguồn sang các kỹ thuật lừa đảo qua email và làm nhiễu ví.
Ghostblade và hệ sinh thái DarkSword: những gì đã biết
Các nhà nghiên cứu của Google mô tả Ghostblade như một thành phần của gia đình DarkSword — bộ công cụ phần mềm độc hại dựa trên trình duyệt nhắm vào người dùng tiền điện tử bằng cách trộm private keys và dữ liệu liên quan. Trọng tâm của Ghostblade là lõi JavaScript cho phép tương tác nhanh chóng với thiết bị trong khi vẫn nhẹ và tạm thời. Lựa chọn thiết kế này phù hợp với các mối đe dọa gần đây khác trên thiết bị, ưu tiên chu kỳ trích xuất dữ liệu nhanh hơn là nhiễm trùng kéo dài.
Trong thực tế, khả năng của phần mềm độc hại vượt ra ngoài việc chỉ trộm private keys. Bằng cách truy cập các ứng dụng nhắn tin như iMessage, Telegram và WhatsApp, kẻ tấn công có thể chặn các cuộc trò chuyện, lấy cắp thông tin đăng nhập và các tệp đính kèm nhạy cảm. Việc truy cập thông tin SIM và định vị mở rộng phạm vi tấn công, tạo điều kiện cho các vụ trộm danh tính và lừa đảo toàn diện hơn. Đặc biệt, khả năng xóa các báo cáo lỗi còn làm mờ hoạt động, gây khó khăn cho các nhà điều tra sau này cũng như các nhà phòng thủ.
Là một phần của cuộc đua vũ trang trong lĩnh vực tình báo mối đe dọa trên thiết bị, Ghostblade nhấn mạnh cách các tác nhân độc hại liên tục tinh chỉnh chuỗi tấn công iOS, khai thác niềm tin vững chắc của người dùng vào thiết bị và các ứng dụng họ sử dụng hàng ngày cho giao tiếp và tài chính.
Từ các cuộc xâm nhập dựa trên mã nguồn đến khai thác yếu tố con người
Thị trường hacker tiền điện tử tháng 2 năm 2026 cho thấy sự chuyển dịch rõ rệt trong hành vi của kẻ tấn công. Theo Nominis, tổng thiệt hại từ các vụ hack tiền điện tử tháng 2 giảm xuống còn 49 triệu USD, so với 385 triệu USD tháng 1. Công ty cho rằng sự sụt giảm này là do sự chuyển hướng từ các mối đe dọa dựa hoàn toàn vào mã nguồn sang các phương thức khai thác lỗi con người như lừa đảo qua email, tấn công làm nhiễu ví và các chiến thuật xã hội khác khiến người dùng vô tình tiết lộ private keys hoặc thông tin đăng nhập.
Lừa đảo qua email vẫn là chiến thuật trung tâm. Kẻ tấn công tạo ra các trang web giả mạo giống như các nền tảng hợp pháp, thường dùng URL bắt chước để dụ người dùng nhập private keys, seed phrases hoặc mật khẩu ví. Khi người dùng tương tác với các giao diện giả mạo này — đăng nhập, phê duyệt giao dịch hoặc dán dữ liệu nhạy cảm — kẻ tấn công có thể truy cập trực tiếp vào quỹ và thông tin đăng nhập. Sự chuyển hướng này sang khai thác dựa trên yếu tố con người đặt ra thách thức mới cho các sàn giao dịch, ví và người dùng, đòi hỏi phải nâng cao nhận thức người dùng cùng các biện pháp kỹ thuật bảo vệ.
Dữ liệu tháng 2 phù hợp với câu chuyện chung của ngành: trong khi các khai thác lỗ hổng phần mềm và zero-day vẫn tiếp tục phát triển, phần lớn rủi ro đối với tài sản tiền điện tử ngày nay đến từ các khai thác xã hội, lợi dụng các hành vi con người đã được thiết lập vững chắc — niềm tin, khẩn cấp và thói quen sử dụng các giao diện quen thuộc. Các chuyên gia nhận định rằng, không chỉ cần vá các lỗ hổng phần mềm mà còn phải củng cố yếu tố con người trong an ninh bằng giáo dục, xác thực mạnh mẽ hơn và trải nghiệm onboarding an toàn hơn cho người dùng ví.
Ảnh hưởng đối với người dùng, ví và nhà phát triển
Sự xuất hiện của Ghostblade — cùng với xu hướng tấn công dựa trên yếu tố con người — đưa ra một số điểm thực tế quan trọng cho người dùng và nhà phát triển. Trước tiên, vệ sinh thiết bị vẫn là yếu tố then chốt. Cập nhật iOS thường xuyên, áp dụng các biện pháp bảo vệ trình duyệt và ứng dụng, sử dụng ví phần cứng hoặc enclave an toàn cho private keys có thể nâng cao khả năng phòng thủ trước các cuộc tấn công trích xuất nhanh.
Thứ hai, người dùng cần cẩn trọng hơn khi tương tác với các ứng dụng nhắn tin và các giao diện web. Việc kết hợp truy cập dữ liệu trên thiết bị với các mánh lừa kiểu phishing có nghĩa là ngay cả các tương tác tưởng chừng vô hại — mở liên kết, phê duyệt quyền hoặc dán seed phrase — cũng có thể trở thành cổng dẫn đến mất mát tài sản. Các biện pháp xác thực đa yếu tố, ứng dụng xác thực và bảo vệ sinh trắc học có thể giúp giảm thiểu rủi ro, nhưng giáo dục và thái độ hoài nghi với các yêu cầu không mong đợi cũng vô cùng quan trọng.
Đối với các nhà xây dựng hệ sinh thái, trường hợp Ghostblade nhấn mạnh tầm quan trọng của kiểm soát chống lừa đảo, quy trình quản lý khóa an toàn và cảnh báo rõ ràng cho người dùng về các hoạt động nhạy cảm. Đồng thời, việc chia sẻ liên tục thông tin về mối đe dọa — đặc biệt là các mối đe dọa trên thiết bị kết hợp các công cụ dựa trên trình duyệt với các tính năng của hệ điều hành di động — là điều cần thiết. Hợp tác liên ngành vẫn là yếu tố then chốt để phát hiện các chuỗi khai thác mới trước khi chúng trở nên phổ biến.
Những điều cần theo dõi tiếp theo
Khi Google Threat Intelligence và các nhà nghiên cứu khác tiếp tục theo dõi hoạt động liên quan đến DarkSword, người quan sát nên chú ý đến các cập nhật về chuỗi khai thác iOS và sự xuất hiện của các phần mềm độc hại tương tự, có khả năng hoạt động trong thời gian ngắn và âm thầm. Sự chuyển hướng tháng 2 sang các lỗ hổng liên quan đến yếu tố con người cho thấy tương lai các nhà phòng thủ cần tăng cường cả các biện pháp kỹ thuật lẫn giáo dục người dùng để giảm thiểu rủi ro từ các chiến thuật lừa đảo và làm nhiễu ví. Đối với độc giả, các mốc quan trọng tiếp theo bao gồm các cảnh báo chính thức về mối đe dọa crypto trên iOS, các phát hiện mới từ các nhà cung cấp an ninh và cách các nền tảng lớn điều chỉnh các biện pháp chống lừa đảo, phòng chống gian lận để đối phó với các chiến thuật ngày càng tinh vi này.
Trong khi đó, việc theo dõi sát sao các báo cáo về DarkSword và các khai thác iOS liên quan của Google Threat Intelligence, cùng các phân tích liên tục từ Nominis và các nhà nghiên cứu bảo mật blockchain khác, sẽ rất cần thiết để đánh giá rủi ro và hoàn thiện các biện pháp phòng thủ chống tội phạm mạng nhắm vào tiền điện tử.
Bài viết này ban đầu được đăng tải dưới dạng Google Threat Intel Flags Ghostblade as Crypto-Stealing Malware trên Crypto Breaking News — nguồn tin đáng tin cậy của bạn về tin tức crypto, Bitcoin và cập nhật blockchain.
