En Resumen
- Google identificó DarkSword, un exploit que encadena 6 vulnerabilidades de iOS 18.4 a 18.7 para instalar malware cripto.
- El malware Ghostblade apunta a Coinbase, Binance, Kraken y wallets como Ledger, MetaMask y Phantom en iPhones.
- Múltiples actores despliegan el exploit, con campañas activas en Arabia Saudita y Ucrania, incluyendo un sitio gubernamental.
Investigadores de Google han identificado una cadena de exploits de iOS utilizada activamente que puede emplearse para distribuir malware dirigido específicamente a aplicaciones de criptomonedas en iPhones vulnerables.
El exploit, denominado DarkSword, aprovecha seis vulnerabilidades para instalar malware en dispositivos que ejecutan las versiones de iOS 18.4 a 18.7, según la investigación.
Una vez que un usuario visita un sitio web malicioso o comprometido con un dispositivo vulnerable, el exploit se utiliza para instalar malware, como un ladrón de datos basado en JavaScript llamado Ghostblade, que busca activamente las principales aplicaciones de exchange de criptomonedas como Coinbase, Binance, Kraken, Kucoin, OKX y MEXC.
Ghostblade también rastrea aplicaciones de wallet de criptomonedas como Ledger, Trezor, MetaMask, Exodus, Uniswap, Phantom y Gnosis Safe, mientras extrae simultáneamente mensajes SMS y de iMessage, historial de llamadas, contactos, contraseñas de Wi-Fi, cookies y el historial de navegación de Safari, datos de ubicación, datos de salud, fotos, contraseñas guardadas e historial de mensajes de Telegram y WhatsApp.
Múltiples actores están desplegando el exploit, desde proveedores de spyware comercial hasta grupos respaldados por estados, con campañas observadas en Arabia Saudita mediante un falso clon de Snapchat, y en Ucrania a través de sitios web comprometidos, incluyendo uno gubernamental.
Ghostblade está diseñado para el robo rápido de datos en lugar de la vigilancia a largo plazo: recopila toda la información disponible, luego elimina sus archivos temporales y se cierra automáticamente.
Este es el más reciente en una oleada de malware dirigido a usuarios de criptomonedas, incluyendo el malware Inferno Drainer que robó cerca de $9 millones a usuarios de criptomonedas durante un período de seis meses el año pasado, y una campaña en la que se vendieron teléfonos Android falsificados con malware preinstalado para robar criptomonedas.