Google Threat Intel позначив Ghostblade як шкідливе програмне забезпечення для крадіжки крипто-активів

(MENAFN- Crypto Breaking) Команда Threat Intelligence від Google повідомила про новий шкідливий програмний забезпечення для крадіжки криптовалюти під назвою «Ghostblade», яке націлене на пристрої Apple iOS. Описується як частина сімейства DarkSword — браузерних інструментів, що працюють у комплекті, — Ghostblade розроблений для швидкого та непомітного викрадення приватних ключів та інших чутливих даних, а не для постійної роботи на пристрої.

Написаний на JavaScript, Ghostblade активується, збирає дані з компрометованого пристрою та передає їх зловмисним серверам перед завершенням роботи. Дослідники зазначають, що конструкція шкідливого ПО ускладнює його виявлення, оскільки він не потребує додаткових плагінів і припиняє роботу після завершення збору даних. Команда Threat Intelligence від Google підкреслює, що Ghostblade також вживає заходів для уникнення виявлення, видаляючи звіти про збої, які інакше могли б повідомити про його активність системам телеметрії Apple.

Крім приватних ключів, шкідливе програмне забезпечення здатне отримувати та передавати повідомлення з iMessage, Telegram і WhatsApp. Воно також може збирати інформацію про SIM-карту, дані ідентифікації користувача, мультимедійні файли, геолокацію та доступ до різних системних налаштувань. У рамках ширшої екосистеми DarkSword, до якої належить Ghostblade, Google називає цю групу частиною еволюційного набору загроз, що ілюструє, як зловмисники постійно вдосконалюють свої інструменти для цілей крипто-користувачів.

Для тих, хто слідкує за тенденціями загроз, Ghostblade разом з іншими компонентами ланцюжка експлойтів DarkSword для iOS описані Google Threat Intelligence. Цей набір інструментів розглядається у ширшому контексті розвитку крипто-загроз, включаючи звіти про експлойт-кити для iOS, що використовуються у фішингових кампаніях.

Ключові висновки

• Ghostblade — це шкідливе програмне забезпечення для крадіжки криптовалюти на iOS, засноване на JavaScript, яке входить до складу екосистеми DarkSword і розроблене для швидкого викрадення даних.
• Шкідливий код працює короткий час і не постійно, що зменшує ймовірність тривалого проникнення та ускладнює його виявлення.
• Він може передавати чутливі дані з iMessage, Telegram і WhatsApp, а також отримувати доступ до інформації про SIM-карту, ідентифікаційних даних, мультимедіа, геолокації та системних налаштувань, одночасно видаляючи звіти про збої для уникнення виявлення.
• Розвиток цієї загрози відповідає ширшій тенденції у сфері безпеки, яка зосереджена не лише на вразливостях програмного забезпечення, а й на соціальній інженерії та витяганні даних, що використовують людську поведінку.
• У лютому збитки від крипто-хакінгу знизилися до 49 мільйонів доларів із 385 мільйонів у січні, що свідчить про перехід від кодових атак до фішингу та атак на гаманці, повідомляє Nominis.

Ghostblade та екосистема DarkSword: що відомо

Дослідники Google описують Ghostblade як компонент сімейства DarkSword — набору браузерних шкідливих інструментів, що націлені на крипто-користувачів шляхом крадіжки приватних ключів та пов’язаних даних. Ядро Ghostblade на базі JavaScript дозволяє швидко взаємодіяти з пристроєм, залишаючись легким і тимчасовим. Це рішення відповідає тенденції останніх атак, що орієнтовані на швидке викрадення даних без тривалого зараження.

Практично, можливості шкідливого ПО виходять за межі простої крадіжки ключів. За допомогою доступу до месенджерів, таких як iMessage, Telegram і WhatsApp, зловмисники можуть перехоплювати розмови, облікові дані та потенційно чутливі вкладення. Включення доступу до інформації про SIM-карту та геолокації розширює потенційний спектр атак, дозволяючи здійснювати більш комплексне викрадення особистих даних і шахрайські схеми. Важливо, що здатність шкідливого ПО стирати звіти про збої ще більше ускладнює виявлення активності, ускладнюючи розслідування для постраждалих і захисників.

Як частина ширшої дискусії про DarkSword, Ghostblade підкреслює постійну гонку озброєнь у сфері інтелекту щодо загроз на пристроях. Google Threat Intelligence розглядає DarkSword як один із останніх прикладів того, як зловмисники вдосконалюють ланцюжки атак, орієнтовані на iOS, використовуючи довіру користувачів до своїх пристроїв і додатків для щоденного спілкування та фінансів.

Від кодових атак до експлойтів, що використовують людський фактор

Лютий 2026 року у сфері крипто-хакінгу відзначився значним зсувом у поведінці зловмисників. За даними Nominis, загальні збитки від крипто-зломів у лютому знизилися до 49 мільйонів доларів із 385 мільйонів у січні. Компанія пояснює цей спад перехідом від чисто кодових загроз до схем, що використовують людські помилки, включаючи фішинг, отруєння гаманців та інші соціальні інженерні методи, що змушують користувачів випадково розкривати ключі або облікові дані.

Фішинг залишається основною тактикою. Зловмисники створюють фальшиві сайти, що імітують легітимні платформи, часто з URL, що нагадують реальні сайти, щоб заманити користувачів вводити приватні ключі, фрази для відновлення або паролі гаманців. Взаємодія з цими підробками — будь то входження, підтвердження транзакцій або вставлення чутливих даних — дає зловмисникам прямий доступ до коштів і облікових даних. Ця зміна у напрямку атак, орієнтованих на людину, має важливі наслідки для бірж, гаманців і користувачів, підкреслюючи необхідність підвищення обізнаності та технічних заходів безпеки.

Ці дані підтверджують широку тенденцію: хоча експлойти на рівні коду і нуль-дні вразливості продовжують розвиватися, більша частина ризику для криптоактивів походить від соціальних інженерних атак, що використовують усталені людські поведінкові шаблони — довіру, терміновість і звичне використання знайомих інтерфейсів. Для індустрії важливо не лише закривати програмні вразливості, а й зміцнювати людський фактор безпеки через освіту, посилення автентифікації та безпечний досвід початкової налаштування гаманців.

Що очікувати далі

Поки Google Threat Intelligence та інші дослідники продовжують відстежувати активність, пов’язану з DarkSword, слідкуйте за оновленнями щодо ланцюжків експлойтів для iOS та появи подібних прихованих, короткочасних шкідливих програм. Зміщення у лютому у бік вразливостей людського фактора вказує на майбутнє, коли захисники повинні посилювати як технічні заходи, так і освітні програми для зменшення ризику фішингу та атак на гаманці. Наступні важливі кроки — це офіційні рекомендації з безпеки щодо крипто-загроз для iOS, нові виявлення від антивірусних компаній і адаптація платформ до боротьби з фішингом і шахрайством у відповідь на ці нові сценарії.

Поки що, важливо стежити за аналітикою загроз, зокрема за звітами Google Threat Intelligence щодо DarkSword і пов’язаних експлойтів для iOS, а також за аналізами інших дослідників у галузі безпеки блокчейну, щоб оцінювати ризики і вдосконалювати захист від кібератак, орієнтованих на криптовалюту.