Google обнаружила эксплойт-цепочку DarkSword, угрожающую криптокошелькам на iPhone

Многоступенчатая атака на устройства Apple

Исследователи из подразделения Google Threat Intelligence Group раскрыли полноценную цепочку эксплойтов для iOS, получившую название DarkSword. Этот программный пакет объединяет несколько уязвимостей операционной системы Apple и позволяет получить полный контроль над устройством жертвы. Особую опасность представляет компонент Ghostblade — модуль, целенаправленно собирающий данные криптовалютных приложений и сид-фразы.

«#CertiKInsight 🚨Google Threat Intelligence has exposed "DarkSword", a full-chain iOS exploit using 6 vulnerabilities to silently compromise iPhones. Your seed phrases and wallet credentials are a target.🧵 Here's what you need to know 👇» — CertiK Alert (@CertiKAlert), оригинальный пост

По данным исследования, DarkSword уже применяли несколько хакерских группировок, а также поставщики коммерческого шпионского программного обеспечения. Заражение происходит через вредоносные веб-сайты: достаточно зайти на такую страницу, и на устройстве без ведома владельца запускается цепочка эксплойтов, открывающая злоумышленникам доступ к персональным данным.

Почему это важно

DarkSword представляет собой инструмент нового поколения: сложный набор эксплойтов, включающий zero-day уязвимости, который ранее был доступен исключительно государственным спецслужбам, теперь распространяется среди более широкого круга злоумышленников. Для держателей криптовалют это означает качественный рост угроз — атака происходит незаметно и без каких-либо действий со стороны пользователя, кроме посещения заражённой страницы.

Фреймворк не является монолитным вредоносным ПО. Разные группировки модифицировали его компоненты под собственные задачи, что делает обнаружение ещё более сложным.

Механизм работы DarkSword

Эксплойт-цепочка задействует несколько уязвимостей iOS, в том числе ранее неизвестные (zero-day), для обхода встроенных защитных механизмов и повышения привилегий в системе. После успешного проникновения атакующие получают возможность:

• Читать сообщения, учётные данные и файлы на устройстве;
• Отслеживать геолокацию владельца;
• Извлекать информацию из приложений, в том числе криптовалютных кошельков;
• Удалённо выполнять произвольный код.

Ghostblade — главная угроза для криптоактивов

Ключевой компонент DarkSword — модуль Ghostblade. Его задача — закрепиться в системе после первоначального взлома и установить постоянную связь с командным сервером злоумышленников. Именно Ghostblade осуществляет фильтрацию и сбор ценной информации: данные аккаунтов криптоприложений, сид-фразы, учётные записи.

Модуль активно противодействует обнаружению встроенными средствами безопасности iOS и способен загружать дополнительные компоненты, расширяя спектр атаки уже после проникновения на устройство.

Рекомендации по защите

Специалисты CertiK опубликовали перечень мер для пользователей iPhone, хранящих криптоактивы:

• Обновить iOS до версии 26.3, в которой закрыты используемые уязвимости;
• Активировать режим блокировки (Lockdown Mode), если обновление невозможно;
• Проверить авторизованные сессии и удалить все неизвестные входы;
• Использовать аппаратные кошельки и ни при каких обстоятельствах не хранить сид-фразу на телефоне.

Кто применял DarkSword

Согласно отчёту Google, эксплойт-пакет использовался как коммерческими разработчиками шпионского софта, так и хакерскими группировками, предположительно связанными с правительственными структурами. Атаки зафиксированы в нескольких регионах — в Украине, Турции и государствах Ближнего Востока.

Исследователи подчёркивают, что DarkSword иллюстрирует тревожную тенденцию: инструменты государственного уровня для кибершпионажа становятся доступны значительно более широкому кругу злоумышленников, что кратно увеличивает риски для рядовых пользователей и владельцев криптоактивов.