Google Threat Intel позначив Ghostblade як шкідливе програмне забезпечення для крадіжки крипто-активів

(MENAFN- Crypto Breaking) Команда Google Threat Intelligence виявила новий шкідливий програмний засіб для крадіжки криптовалюти під назвою «Ghostblade», який націлений на пристрої Apple iOS. Описується як частина сімейства інструментів DarkSword, що базуються на браузері, Ghostblade розроблений для швидкого та непомітного вилучення приватних ключів та інших чутливих даних, а не для постійної роботи на пристрої.

Написаний на JavaScript, Ghostblade активується, збирає дані з компрометованого пристрою та передає їх зловмисним серверам перед завершенням роботи. Дослідники зазначають, що така конструкція ускладнює виявлення, оскільки вона не потребує додаткових плагінів і припиняє роботу після завершення збору даних. Команда Google підкреслює, що Ghostblade також вживає заходів для уникнення виявлення, видаляючи звіти про збої, які інакше могли б сповістити системи телеметрії Apple.

Крім приватних ключів, шкідливий софт здатен отримувати та передавати повідомлення з iMessage, Telegram і WhatsApp. Він також може збирати інформацію про SIM-карту, ідентифікаційні дані користувача, мультимедійні файли, геолокацію та доступ до різних системних налаштувань. Більш широка платформа DarkSword, до якої належить Ghostblade, згадується Google як частина еволюційного набору загроз, що ілюструє, як зловмисники постійно вдосконалюють свої інструменти для цілей крипто-користувачів.

Для тих, хто слідкує за тенденціями загроз, Ghostblade є частиною інших компонентів експлойт-ланцюжка DarkSword для iOS, описаного Google Threat Intelligence. Цей набір інструментів розглядається у ширшому контексті еволюції крипто-загроз, включаючи звіти про експлойт-кити для iOS, що використовуються у крипто-фішингових кампаніях.

Ключові висновки

• Ghostblade — це загроза для iOS, заснована на JavaScript, яка викрадає криптовалюту в рамках екосистеми DarkSword і розроблена для швидкого витоку даних.
• Шкідливий софт працює короткий час і не постійно, що зменшує ймовірність тривалого проникнення та ускладнює виявлення.
• Він може передавати чутливі дані з iMessage, Telegram і WhatsApp, а також отримувати доступ до інформації про SIM-карту, ідентифікаційних даних, мультимедіа, геолокації та системних налаштувань, одночасно видаляючи звіти про збої для уникнення виявлення.
• Розвиток цієї загрози відповідає ширшій тенденції у сфері безпеки, що зосереджена не лише на вразливостях програмного забезпечення, а й на соціальній інженерії та витяганні даних, що використовують людські поведінкові особливості.
• У лютому збитки від крипто-хакінгу знизилися до 49 мільйонів доларів із 385 мільйонів у січні, що свідчить про перехід від кодових атак до фішингу та атак на гаманці, повідомляє Nominis.

Ghostblade та екосистема DarkSword: що відомо

Дослідники Google описують Ghostblade як компонент сімейства DarkSword — набору браузерних шкідливих інструментів, що націлені на крипто-користувачів шляхом крадіжки приватних ключів та пов’язаних даних. Ядро Ghostblade на JavaScript дозволяє швидко взаємодіяти з пристроєм, залишаючись легким і тимчасовим. Такий підхід відповідає іншим сучасним загрозам, що орієнтовані на швидке витягування даних без тривалого зараження.

Практично, можливості шкідливого софту виходять за межі простої крадіжки ключів. За допомогою доступу до месенджерів, таких як iMessage, Telegram і WhatsApp, зловмисники можуть перехоплювати розмови, облікові дані та потенційно чутливі вкладення. Включення доступу до інформації про SIM-карту та геолокації розширює потенційний спектр атак, дозволяючи більш комплексне викрадення особистих даних і шахрайство. Важливо, що здатність шкідливого софту стирати звіти про збої ще більше ускладнює діяльність як для жертв, так і для захисників.

Як частина ширшої дискусії про DarkSword, Ghostblade підкреслює постійну гонку озброєнь у сфері інтелекту загроз на пристроях. Google Threat Intelligence розглядає DarkSword як один із останніх прикладів того, як зловмисники вдосконалюють ланцюги атак на iOS, використовуючи довіру користувачів до своїх пристроїв і додатків для щоденної комунікації та фінансів.

Від кодових атак до експлойтів, що використовують людський фактор

Лютий 2026 року відзначився значним зсувом у поведінці зловмисників. За даними Nominis, загальні збитки від крипто-зломів у лютому знизилися до 49 мільйонів доларів із 385 мільйонів у січні. Компанія пояснює цей спад перехідом від чисто кодових загроз до схем, що використовують людські помилки, включаючи фішинг, атаки на гаманці та інші соціальні інженерні методи, що змушують користувачів випадково розкривати ключі або облікові дані.

Фішинг залишається основною тактикою. Зловмисники створюють фальшиві сайти, що імітують легітимні платформи, часто з URL, схожими на реальні, щоб заманити користувачів вводити приватні ключі, фрази для відновлення або паролі гаманців. Взаємодія з цими підробками — входження, підтвердження транзакцій або вставлення чутливих даних — дає зловмисникам прямий доступ до коштів і облікових даних. Такий перехід до людських експлойтів вимагає від бірж, гаманців і користувачів посилити захист через освіту, технічні засоби безпеки та підвищену обережність.

Ці дані підтверджують ширший тренд: хоча експлойти на рівні коду і нуль-дни продовжують розвиватися, більша частина ризиків для криптоактивів походить від соціальних інженерних атак, що використовують людські звички — довіру, терміновість і знайомі інтерфейси. Для галузі важливо не лише закривати вразливості програмного забезпечення, а й зміцнювати людський фактор безпеки через освіту, більш надійні механізми автентифікації та безпечний досвід налаштування гаманців.

Що це означає для користувачів, гаманців і розробників

З’явлення Ghostblade і тенденція до людських атак підкреслюють кілька важливих практичних висновків. По-перше, гігієна пристрою залишається критичною. Оновлення iOS, застосування заходів безпеки для додатків і браузерів, а також використання апаратних гаманців або захищених елементів для приватних ключів підвищують рівень захисту від швидкого витоку даних.

По-друге, користувачам слід бути особливо обережними з месенджерами та веб-інтерфейсами. Поєднання доступу до даних на пристрої з фішинговими схемами означає, що навіть безпечні на перший погляд дії — відкриття посилання, підтвердження дозволів або вставлення фраз — можуть стати каналом для крадіжки. Мультифакторна автентифікація, автентифікаційні додатки та біометричний захист допомагають зменшити ризик, але освіта і скептицизм щодо несподіваних запитів є не менш важливими.

Для розробників випадок Ghostblade підкреслює важливість контролю протидії фішингу, безпечного управління ключами та прозорих попереджень користувачам щодо чутливих операцій. Також важливо продовжувати обмін інформацією про загрози, особливо щодо загроз на пристроях, що поєднують браузерні інструменти і функції мобільних ОС. Співпраця галузей залишається ключовою для виявлення нових ланцюгів експлуатації до того, як вони стануть широко поширеними.

Що слід очікувати далі

Поки Google Threat Intelligence та інші дослідники продовжують відстежувати активність, пов’язану з DarkSword, слідкувати за оновленнями щодо експлойт-ланцюгів для iOS та появи подібних прихованих, короткочасних шкідливих програм. Зміщення у лютому у бік людських факторів свідчить про майбутнє, де захисники повинні посилювати як технічні заходи, так і освітні програми для зменшення ризику фішингу і атак на гаманці. Наступні важливі кроки — офіційні рекомендації щодо крипто-загроз для iOS, нові виявлення від безпекових компаній і адаптація платформ для боротьби з фішингом і шахрайством.

Поки що важливо залишатися уважними до інформації про загрози — зокрема, звітів Google Threat Intelligence про DarkSword і пов’язані експлойти для iOS, а також аналізів Nominis і інших дослідників безпеки блокчейну — для оцінки ризиків і вдосконалення захисту від кібератак, спрямованих на криптовалюту.