DarkSword 漏洞攻擊鎖定加密貨幣用戶的 iOS 裝置

TLDR

• DarkSword 攻擊 iOS 18.4–18.7，竊取加密錢包和個人資料。

• Ghostblade 惡意軟體鎖定 Coinbase、Binance、Ledger、MetaMask 等平台。

• 透過假網站觸發漏洞；無需使用者操作即可感染裝置。

• 最終階段惡意軟體在快速竊取敏感資料後會自我刪除。

• 更新至 iOS 26.3 或啟用鎖定模式以阻擋 DarkSword 攻擊。

一個名為 DarkSword 的新型 iOS 漏洞鏈正積極鎖定執行 iOS 18.4 至 18.7 的裝置。該漏洞利用六個零日漏洞在受感染裝置上安裝惡意軟體。多個攻擊者正在沙烏地阿拉伯、烏克蘭、馬來西亞和土耳其針對使用者部署 DarkSword。

DarkSword 提供專門竊取敏感資料的惡意軟體,包括登入憑證、通話記錄和位置資訊。它特別鎖定受感染裝置上的加密貨幣應用程式和錢包。使用者造訪受感染網站時,無需任何互動即可在不知情的情況下觸發該漏洞。

網路安全研究人員已識別出透過 DarkSword 部署的多個最終階段惡意軟體家族。這些包括 Ghostblade、Ghostknife 和 Ghostsaber,它們會快速提取資料並在之後自我刪除。這些活動顯示 DarkSword 已被商業間諜軟體供應商和國家支持的威脅行為者採用。

Ghostblade 鎖定加密交易所和錢包

由 DarkSword 部署的 Ghostblade 會主動搜尋 iOS 裝置上的加密貨幣交易所應用程式。它鎖定 Coinbase、Binance、Kraken、Kucoin、OKX 和 MEXC 等主要平台。該惡意軟體還會搜尋熱門錢包,包括 Ledger、Trezor、MetaMask、Exodus、Uniswap、Phantom 和 Gnosis Safe。

除了加密資產外,Ghostblade 還會收集裝置中的 SMS、iMessage、通話記錄和聯絡人。它還會竊取 Wi-Fi 憑證、Safari Cookie、瀏覽歷史記錄和位置資訊。該惡意軟體會存取健康資料、照片,以及來自 Telegram 和 WhatsApp 的訊息歷史記錄。

Ghostblade 執行短期資料竊取操作,在提取後刪除臨時檔案並自行終止。這種快速行動設計確保受感染裝置上留下的痕跡最少。DarkSword 提供 Ghostblade 的能力凸顯了對加密使用者的鎖定正在增加。

全球部署和漏洞機制

DarkSword 已被觀察到在使用假網站和受感染政府入口網站的針對性活動中出現。在沙烏地阿拉伯,一個 Snapchat 主題網站被用來透過 DarkSword 感染裝置。該漏洞鏈會建立 iframe 並擷取遠端程式碼執行模組以提供惡意軟體。

DarkSword 中的不同 RCE 漏洞鎖定特定的 iOS 版本,包括記憶體損壞和 PAC 繞過漏洞。載入器邏輯有時無法區分裝置版本,反映出該工具的快速部署。儘管如此,DarkSword 仍持續安裝 Ghostknife 和 Ghostsaber 等最終階段負載。

研究人員在 2025 年末向 Apple 報告了這些漏洞,修補程式已包含在 iOS 26.3 中。與 DarkSword 傳遞相關的網域現已新增至安全瀏覽清單。敦促使用者更新 iOS 裝置或啟用鎖定模式,以增加對 DarkSword 活動的防護。

DarkSword 已成為 iOS 裝置上加密貨幣使用者的重大威脅。該漏洞被多個攻擊者快速採用,顯示數位資產面臨的風險正在增加。它鎖定交易所、錢包和個人資料,突顯了立即更新裝置的必要性。

本文《DarkSword 漏洞攻擊 iOS 裝置 鎖定加密使用者》首次發佈於 CoinCentral。