Google Threat Intel Обозначил Ghostblade как вредоносное ПО для кражи криптовалют

(MENAFN- Crypto Breaking) Google Threat Intelligence выявила новое вредоносное ПО для кражи криптовалют под названием «Ghostblade», нацеленное на устройства Apple iOS. Описываемое как часть семейства инструментов DarkSword, Ghostblade разработан для быстрого и скрытного сбора приватных ключей и другой чувствительной информации, а не для постоянного присутствия на устройстве.

Написанный на JavaScript, Ghostblade активируется, собирает данные с зараженного устройства и передает их злоумышленникам, после чего отключается. Исследователи отмечают, что дизайн вредоносного ПО усложняет его обнаружение, так как оно не требует дополнительных плагинов и прекращает работу после завершения сбора данных. Команда Google Threat Intelligence подчеркивает, что Ghostblade также предпринимает меры для избегания обнаружения, удаляя отчеты о сбоях, которые могли бы предупредить системы телеметрии Apple.

Помимо приватных ключей, вредоносное ПО способно получать и передавать сообщения из iMessage, Telegram и WhatsApp. Оно также может собирать информацию о SIM-карте, данных пользователя, мультимедийных файлах, геолокации и получать доступ к различным системным настройкам. Более широкая рамка DarkSword, к которой принадлежит Ghostblade, служит примером постоянно совершенствующихся угроз, показывающих, как злоумышленники улучшают свои инструменты для атаки крипто-пользователей.

Для тех, кто следит за тенденциями угроз, Ghostblade занимает место среди других компонентов цепочки эксплойтов DarkSword для iOS, описанных Google Threat Intelligence. Эти инструменты рассматриваются в контексте эволюции крипто-угроз, включая отчеты о эксплойт-кампаниях на базе iOS, используемых в фишинговых атаках.

Ключевые выводы

• Ghostblade — это JavaScript-основанная угроза для iOS, предназначенная для быстрого сбора данных в рамках экосистемы DarkSword и созданная для быстрой эксфильтрации информации.
• Вредоносное ПО работает недолго и не постоянно, что снижает вероятность долгосрочного захвата устройства и усложняет его обнаружение.
• Оно может передавать чувствительные данные из iMessage, Telegram и WhatsApp, а также получать доступ к информации о SIM-карте, идентификационных данных, мультимедиа, геолокации и системным настройкам, одновременно удаляя отчеты о сбоях для сокрытия активности.
• Разработка соответствует более широкому сдвигу в угрозах, ориентированных на социальную инженерию и извлечение данных, использующих человеческое поведение, а не только уязвимости программного обеспечения.
• В феврале потери от крипто-взломов резко снизились до 49 миллионов долларов с 385 миллионов в январе, что свидетельствует о переходе от кодовых атак к фишингу и отравлению кошельков, отмечает Nominis.

Ghostblade и экосистема DarkSword: что известно

Исследователи Google описывают Ghostblade как компонент семейства DarkSword — набора браузерных вредоносных инструментов, нацеленных на крипто-пользователей через кражу приватных ключей и связанной информации. Ядро Ghostblade на JavaScript позволяет быстро взаимодействовать с устройством, оставаясь легким и временным. Такой дизайн соответствует другим недавним угрозам, ориентированным на быстрое извлечение данных без длительных заражений.

На практике возможности вредоносного ПО выходят за рамки простого кражи ключей. Получая доступ к мессенджерам, таким как iMessage, Telegram и WhatsApp, злоумышленники могут перехватывать переписки, учетные данные и потенциально чувствительные вложения. Включение доступа к информации о SIM-карте и геолокации расширяет потенциальную поверхность атаки, позволяя реализовать более комплексные сценарии кражи личности и мошенничества. Важным аспектом является возможность удаления отчетов о сбоях, что дополнительно усложняет расследование после заражения для жертв и защитников.

В рамках более широкой дискуссии о DarkSword Ghostblade подчеркивает продолжающуюся гонку вооружений в области угроз на устройстве. Google Threat Intelligence рассматривает DarkSword как один из последних примеров того, как злоумышленники совершенствуют цепочки атак на iOS, эксплуатируя высокий уровень доверия пользователей к своим устройствам и приложениям для ежедневной коммуникации и финансов.

От кодовых атак к эксплойтам, основанным на человеческом факторе

Обзор крипто-взломов февраля 2026 года показывает заметный сдвиг в поведении злоумышленников. Согласно Nominis, общие убытки от крипто-взломов снизились до 49 миллионов долларов в феврале с 385 миллионов в январе. Компания связывает это с переходом от чисто кодовых угроз к схемам, использующим человеческие ошибки, включая фишинг, отравление кошельков и другие социальные инженерные методы, заставляющие пользователей непреднамеренно раскрывать ключи или учетные данные.

Фишинг остается ключевой тактикой. Злоумышленники создают поддельные сайты, имитирующие легитимные платформы, с URL, похожими на настоящие, чтобы заманить пользователей ввести приватные ключи, сид-фразы или пароли кошельков. Взаимодействие с такими сайтами — вход, подтверждение транзакций или вставка чувствительных данных — дает злоумышленникам прямой доступ к средствам и учетным данным. Этот сдвиг в сторону атак, ориентированных на человека, требует от бирж, кошельков и пользователей усиленных мер защиты, включая обучение пользователей и технические средства.

Данные за февраль подтверждают общую тенденцию: несмотря на развитие эксплойтов на уровне кода и нулевых дней, большая часть риска для криптоактивов исходит от социальных инженерных атак, использующих привычное поведение человека — доверие, срочность и использование знакомых интерфейсов. Для индустрии важно не только исправлять уязвимости программного обеспечения, но и укреплять человеческий фактор через обучение, усиленную аутентификацию и безопасный опыт входа в кошельки.

Что важно для пользователей, кошельков и разработчиков

Появление Ghostblade и связанная тенденция к атакам, основанным на человеческом факторе, подчеркивают несколько практических рекомендаций. Во-первых, гигиена устройства остается критичной. Обновление iOS, применение мер защиты приложений и браузеров, использование аппаратных кошельков или защищенных модулей для приватных ключей повышают уровень защиты от быстрых атак на эксфильтрацию.

Во-вторых, пользователи должны проявлять повышенную осторожность при использовании мессенджеров и веб-ресурсов. Совмещение доступа к данным на устройстве с фишинговыми уловками означает, что даже безобидные действия — открытие ссылки, подтверждение разрешения или вставка сид-фразы — могут стать каналом кражи. Многофакторная аутентификация, аутентификационные приложения и биометрическая защита помогают снизить риск, однако важны также образование и скептицизм к неожиданным запросам.

Для разработчиков важно усилить контроль против фишинга, обеспечить безопасное управление ключами и прозрачные предупреждения для пользователей при выполнении чувствительных операций. Также необходимо продолжать обмен информацией о новых угрозах, особенно о цепочках атак, сочетающих браузерные инструменты и функции мобильных ОС. Межотраслевое сотрудничество остается ключевым для своевременного обнаружения новых цепочек эксплуатации.

Что ждать дальше

По мере того, как Google Threat Intelligence и другие исследователи продолжают отслеживать активность, связанную с DarkSword, стоит следить за обновлениями цепочек эксплойтов для iOS и появлением новых скрытных, краткосрочных вредоносных программ. Сдвиг в сторону уязвимостей, связанных с человеческим фактором, предполагает, что защитники должны укреплять как технические меры, так и обучение пользователей для снижения риска фишинга и отравления кошельков. Следующими важными этапами станут официальные рекомендации по угрозам для iOS, новые обнаружения от антивирусных решений и адаптация платформ к противодействию этим новым сценариям.

Тем временем, постоянный мониторинг источников угроз — таких как отчеты Google Threat Intelligence о DarkSword и связанных эксплойтах для iOS, а также анализы от Nominis и других исследователей блокчейн-безопасности — будет необходим для оценки рисков и совершенствования защиты от киберпреступлений, ориентированных на криптовалюты.