Google Threat Intel Обозначил Ghostblade как вредоносное ПО для кражи криптовалют

(MENAFN- Crypto Breaking) Google Threat Intelligence выявила новое вредоносное ПО для кражи криптовалют под названием «Ghostblade», нацеленное на устройства Apple iOS. Описываемое как часть семейства DarkSword — браузерных инструментов, Ghostblade разработан для быстрого и скрытного сбора приватных ключей и другой чувствительной информации, а не для постоянного присутствия на устройстве.

Написанный на JavaScript, Ghostblade активируется, собирает данные с зараженного устройства и передает их злоумышленникам, после чего отключается. Исследователи отмечают, что дизайн вредоносного ПО усложняет его обнаружение, так как оно не требует дополнительных плагинов и прекращает работу после завершения сбора данных. Команда Google Threat Intelligence подчеркивает, что Ghostblade также предпринимает меры для избегания обнаружения, удаляя отчеты о сбоях, которые могли бы предупредить системы телеметрии Apple.

Помимо приватных ключей, вредоносное ПО способно получать и передавать сообщения из iMessage, Telegram и WhatsApp. Оно также может собирать информацию о SIM-карте, данных пользователя, мультимедийных файлах, геолокации и получать доступ к различным системным настройкам. Более широкая рамка DarkSword, к которой принадлежит Ghostblade, служит примером постоянно совершенствующихся угроз, показывающих, как злоумышленники улучшают свои инструменты для атаки крипто-пользователей.

Для тех, кто следит за тенденциями угроз, Ghostblade находится в одном ряду с другими компонентами цепочки эксплойтов DarkSword для iOS, описанными Google Threat Intelligence. Эти инструменты рассматриваются в контексте эволюции крипто-угроз, включая отчеты о эксплойт-кампаниях на базе iOS, используемых в фишинговых атаках.

Ключевые выводы

• Ghostblade — это JavaScript-угроза для кражи криптовалют на iOS, входящая в экосистему DarkSword, предназначенная для быстрого сбора данных.
• Вредоносное ПО работает недолго и не постоянно, что снижает вероятность долгосрочного захвата устройства и усложняет обнаружение.
• Оно может передавать чувствительные данные из iMessage, Telegram и WhatsApp, а также получать доступ к информации о SIM-карте, идентификационных данных, мультимедиа, геолокации и системным настройкам, одновременно удаляя отчеты о сбоях для сокрытия активности.
• Разработка соответствует более широкому тренду в области угроз, ориентированных на социальную инженерию и извлечение данных, использующих человеческое поведение, а не только уязвимости программного обеспечения.
• В феврале потери от крипто-взломов резко снизились до 49 миллионов долларов с 385 миллионов в январе, что свидетельствует о переходе от кодовых атак к фишингу и отравлению кошельков, сообщает Nominis.

Ghostblade и экосистема DarkSword: что известно

Исследователи Google описывают Ghostblade как компонент семейства DarkSword — набора браузерных вредоносных инструментов, нацеленных на крипто-пользователей через кражу приватных ключей и связанной информации. Ядро Ghostblade на JavaScript позволяет быстро взаимодействовать с устройством, оставаясь легким и временным. Такой дизайн соответствует другим недавним угрозам, ориентированным на устройство, которые предпочитают быстрый цикл сбора данных вместо длительных заражений.

На практике возможности вредоносного ПО выходят за рамки простого кражи ключей. Получая доступ к мессенджерам, таким как iMessage, Telegram и WhatsApp, злоумышленники могут перехватывать переписки, учетные данные и потенциально чувствительные вложения. Включение доступа к информации о SIM-карте и геолокации расширяет потенциальную поверхность атаки, позволяя реализовать более комплексные сценарии кражи личности и мошенничества. Важным аспектом является способность вредоносного ПО стирать отчеты о сбоях, что усложняет расследование после заражения как для жертв, так и для защитников.

В рамках более широкой дискуссии о DarkSword Ghostblade подчеркивает продолжающуюся гонку вооружений в области угроз на устройстве. Google Threat Intelligence рассматривает DarkSword как один из последних примеров того, как злоумышленники совершенствуют цепочки атак на iOS, эксплуатируя высокий уровень доверия пользователей к своим устройствам и приложениям для ежедневной коммуникации и финансов.

От кодовых атак к социальным инженерным схемам

Обзор крипто-взломов февраля 2026 года показывает заметный сдвиг в поведении злоумышленников. Согласно Nominis, общие потери от крипто-взломов снизились до 49 миллионов долларов в феврале с 385 миллионов в январе. Компания связывает это с переходом от чисто кодовых угроз к схемам, использующим человеческую ошибку, включая фишинг, отравление кошельков и другие социальные инженерные методы, заставляющие пользователей непреднамеренно раскрывать ключи или учетные данные.

Фишинг остается ключевой тактикой. Злоумышленники создают поддельные сайты, имитирующие легитимные платформы, с URL, похожими на настоящие, чтобы заманить пользователей ввести приватные ключи, сид-фразы или пароли кошельков. Взаимодействие с такими сайтами — вход, подтверждение транзакций или вставка чувствительных данных — дает злоумышленникам прямой доступ к средствам и учетным данным. Этот сдвиг в сторону атак на человека требует от бирж, кошельков и пользователей усиления защиты, включая обучение пользователей и технические меры.

Данные за февраль подтверждают общую тенденцию: несмотря на развитие эксплойтов и нулевых дней, большая часть риска для криптовладений исходит от социальных инженерных атак, использующих доверие, срочность и привычные интерфейсы. Для индустрии важно не только исправлять уязвимости программного обеспечения, но и укреплять человеческий фактор через обучение, усиленную аутентификацию и безопасный опыт регистрации.

Что важно для пользователей, кошельков и разработчиков

Появление Ghostblade и тенденция к атакам, основанным на человеческом факторе, подчеркивают несколько практических рекомендаций. Во-первых, гигиена устройства остается критичной. Обновление iOS, усиление защиты приложений и браузеров, использование аппаратных кошельков или защищенных модулей для приватных ключей повышают уровень защиты от быстрых атак на exfiltration.

Во-вторых, пользователи должны проявлять повышенную осторожность при использовании мессенджеров и веб-ресурсов. Совмещение доступа к данным на устройстве с фишинговыми уловками означает, что даже безобидные действия — открытие ссылки, разрешение доступа или вставка сид-фразы — могут стать каналом кражи. Многофакторная аутентификация, аутентификационные приложения и биометрическая защита помогают снизить риск, однако важны также образование и скептицизм к неожиданным запросам.

Для разработчиков важно внедрять антифишинговые механизмы, безопасные процессы управления ключами и прозрачные предупреждения для пользователей при выполнении чувствительных операций. Также необходимо продолжать обмен информацией о новых угрозах, особенно о цепочках эксплойтов, сочетающих браузерные инструменты и функции мобильных ОС. Межотраслевое сотрудничество остается ключевым для своевременного обнаружения новых цепочек атак.

Что ждать дальше

По мере продолжения работы Google Threat Intelligence и других исследователей по отслеживанию активности, связанной с DarkSword, стоит следить за обновлениями цепочек эксплойтов для iOS и появлением новых скрытных, краткосрочных вредоносных программ. Сдвиг в сторону уязвимостей, связанных с человеческим фактором, предполагает, что защитники должны усиливать как технические меры, так и обучение пользователей для снижения риска фишинга и отравления кошельков. Следующие важные события — это официальные рекомендации по угрозам iOS, новые обнаружения от антивирусных компаний и адаптация платформ к борьбе с фишингом и мошенничеством.

Тем временем, постоянный мониторинг источников угроз, таких как отчеты Google Threat Intelligence о DarkSword и связанных эксплойтах для iOS, а также анализы от Nominis и других специалистов по безопасности блокчейнов, будет важен для оценки рисков и совершенствования защиты от киберпреступлений в крипто-среде.