Щойно почув про щось досить тривожне у сфері безпеки. Команда з розвідки загроз Google повідомила про новий шкідливий програмний забезпечення для iOS під назвою Ghostblade, який спеціально створений для крадіжки приватних ключів криптовалют і чутливих даних користувачів. Що робить його особливо небезпечним — це спосіб його роботи: він побудований на JavaScript і розроблений для швидкої та тихої роботи, швидко захоплюючи необхідне, а потім зникаючи, перш ніж ви навіть зрозумієте, що він був там.

Ghostblade є частиною більшої сім’ї інструментів DarkSword, що націлені на користувачів криптовалют. Це шкідливе програмне забезпечення не залишається на вашому пристрої, як традиційні інфекції. Замість цього воно активується короткий час, витягує дані, такі як приватні ключі, з вашого пристрою, передає все на зловмисні сервери, а потім повністю вимикається. Такий дизайн робить його надзвичайно важким для виявлення, оскільки він не потребує додаткових плагінів і залишає мінімальні сліди. Ще більш просунуто — він активно видаляє звіти про збої, які зазвичай сповіщають системи телеметрії Apple, фактично приховуючи свої сліди.

Крім простої крадіжки приватних ключів, ця програма може отримувати доступ до повідомлень з iMessage, Telegram і WhatsApp. Вона також збирає інформацію про SIM-карту, дані ідентифікації, мультимедійні файли, геолокаційні дані та різні системні налаштування. Тобто мова йде про досить всеохоплюючу операцію крадіжки даних.

Що цікаво з точки зору ландшафту загроз, так це ширша тенденція, яка проявляється. За даними Nominis, збитки від хакінгу криптовалют знизилися різко до 49 мільйонів доларів у лютому порівняно з 385 мільйонами у січні. Звучить як хороші новини на перший погляд, але насправді це відображає зміну у способах роботи зловмисників. Вони відходять від чисто кодувальних експлойтів і переходять до соціальної інженерії — фішингу, отруєння гаманців і інших атак, що базуються на людському факторі, які змушують користувачів розкривати свої ключі та облікові дані.

Новина для спільноти безпеки полягає в тому, що зловмисники стають все розумнішими у цільовій роботі з людською поведінкою, а не лише з програмним забезпеченням. Кампанії фішингу стають більш складними, з підробленими сайтами, що виглядають ідентично справжнім платформам, з URL, що імітують реальні. Користувачі вводять приватні ключі або фрази відновлення, і — бам! — зловмисники отримують прямий доступ.

Що це означає для людей, які дійсно тримають криптовалюту? Гігієна пристрою залишається критично важливою. Оновлюйте iOS, використовуйте апаратні гаманці для зберігання приватних ключів, коли можливо, і будьте дуже обережні з месенджерами та веб-інтеракціями. Мультифакторна автентифікація і біометричний захист допомагають, але найголовніше — це скептицизм. Не довіряйте несподіваним запитам на введення чутливих даних.

Для розробників і платформенних створювачів важливо зрозуміти — потрібно впроваджувати надійний захист від фішингу, безпечне управління ключами і прозорі попередження, коли користувачі ризикують. У криптоспільноті потрібно покращити співпрацю між галузями щодо обміну інформацією про загрози, особливо щодо цих атак на пристроях, що поєднують інструменти браузера з можливостями мобільних ОС.

Відстеження розвитку екосистеми DarkSword і наступних звітів Google Threat Intelligence буде важливим для всіх у цій сфері. Ландшафт загроз явно змінюється, і бути в курсі — це вже половина боротьби.