DarkSword-Exploit trifft iOS-Geräte und zielt auf Krypto-Nutzer ab

TLDR

• DarkSword trifft iOS 18.4–18.7 und stiehlt Krypto-Wallets und persönliche Daten.

• Ghostblade-Malware zielt auf Coinbase, Binance, Ledger, MetaMask und mehr ab.

• Exploit wird über gefälschte Seiten ausgelöst; keine Benutzeraktion zur Infektion erforderlich.

• Malware der letzten Stufe löscht sich selbst, nachdem sensible Daten schnell gestohlen wurden.

• Aktualisieren Sie auf iOS 26.3 oder aktivieren Sie den Lockdown-Modus, um DarkSword-Angriffe zu blockieren.

Eine neue iOS-Exploit-Kette namens DarkSword zielt aktiv auf Geräte mit iOS 18.4 bis 18.7 ab. Der Exploit nutzt sechs Zero-Day-Schwachstellen, um Malware auf kompromittierten Geräten zu installieren. Mehrere Akteure setzen DarkSword gegen Benutzer in Saudi-Arabien, der Ukraine, Malaysia und der Türkei ein.

DarkSword liefert Malware, die darauf ausgelegt ist, sensible Daten zu stehlen, darunter Anmeldedaten, Anrufhistorie und Standortinformationen. Es zielt speziell auf Kryptowährungs-Apps und Wallets auf infizierten Geräten ab. Benutzer, die kompromittierte Websites besuchen, können den Exploit unwissentlich ohne jegliche Interaktion auslösen.

Cybersicherheitsforscher haben mehrere Malware-Familien der letzten Stufe identifiziert, die über DarkSword bereitgestellt werden. Dazu gehören Ghostblade, Ghostknife und Ghostsaber, die Daten schnell extrahieren und sich danach selbst löschen. Die Kampagnen zeigen die Übernahme von DarkSword durch kommerzielle Spyware-Anbieter und staatlich unterstützte Bedrohungsakteure.

Ghostblade zielt auf Krypto-Börsen und Wallets ab

Ghostblade, bereitgestellt durch DarkSword, sucht aktiv nach Kryptowährungsbörsen-Anwendungen auf iOS-Geräten. Es zielt auf große Plattformen wie Coinbase, Binance, Kraken, Kucoin, OKX und MEXC ab. Die Malware jagt auch beliebte Wallets, darunter Ledger, Trezor, MetaMask, Exodus, Uniswap, Phantom und Gnosis Safe.

Zusätzlich zu Krypto-Assets sammelt Ghostblade SMS, iMessage, Anrufhistorie und Kontakte vom Gerät. Es exfiltriert auch WLAN-Anmeldedaten, Safari-Cookies, Browserverlauf und Standortinformationen. Die Malware greift auf Gesundheitsdaten, Fotos und Nachrichtenverlauf von Telegram und WhatsApp zu.

Ghostblade arbeitet für kurzfristigen Datendiebstahl, löscht temporäre Dateien und beendet sich selbst nach der Extraktion. Dieses Schnellaktions-Design stellt sicher, dass minimale Spuren auf dem infizierten Gerät verbleiben. Die Fähigkeit von DarkSword, Ghostblade bereitzustellen, hebt die zunehmende Zielsetzung von Krypto-Benutzern hervor.

Globale Bereitstellung und Exploit-Mechaniken

DarkSword wurde in gezielten Kampagnen beobachtet, die gefälschte Websites und kompromittierte Regierungsportale verwenden. In Saudi-Arabien wurde eine Snapchat-thematisierte Seite verwendet, um Geräte über DarkSword zu infizieren. Die Exploit-Kette erstellt iframes und ruft Remote-Code-Execution-Module ab, um die Malware bereitzustellen.

Verschiedene RCE-Exploits in DarkSword zielen auf bestimmte iOS-Versionen ab, einschließlich Speicherbeschädigungs- und PAC-Bypass-Schwachstellen. Die Loader-Logik schafft es manchmal nicht, Geräteversionen zu unterscheiden, was die schnelle Bereitstellung des Tools widerspiegelt. Trotzdem installiert DarkSword konsequent Payloads der letzten Stufe wie Ghostknife und Ghostsaber.

Forscher meldeten die Schwachstellen Ende 2025 an Apple, und Patches wurden in iOS 26.3 aufgenommen. Domains, die mit der DarkSword-Bereitstellung verbunden sind, werden jetzt zu Safe-Browsing-Listen hinzugefügt. Benutzer werden aufgefordert, iOS-Geräte zu aktualisieren oder den Lockdown-Modus für zusätzlichen Schutz gegen DarkSword-Kampagnen zu aktivieren.

DarkSword hat sich als bedeutende Bedrohung für Kryptowährungsbenutzer auf iOS-Geräten herausgestellt. Die schnelle Übernahme des Exploits durch mehrere Akteure signalisiert ein wachsendes Risiko für digitale Assets. Seine Zielsetzung auf Börsen, Wallets und persönliche Daten unterstreicht die Notwendigkeit sofortiger Geräte-Updates.

Der Beitrag DarkSword Exploit Hits iOS Devices Targeting Crypto Users erschien zuerst auf CoinCentral.