L'Exploit DarkSword Frappe les Appareils iOS Ciblant les Utilisateurs Crypto

TLDR

• DarkSword frappe iOS 18.4–18.7, volant des portefeuilles crypto et des données personnelles.

• Le malware Ghostblade cible Coinbase, Binance, Ledger, MetaMask, et plus encore.

• L'exploit se déclenche via de faux sites ; aucune action de l'utilisateur n'est nécessaire pour infecter les appareils.

• Le malware de stade final s'auto-supprime après avoir rapidement volé des données sensibles.

• Mettez à jour vers iOS 26.3 ou activez le mode Lockdown pour bloquer les attaques DarkSword.

Une nouvelle chaîne d'exploitation iOS appelée DarkSword cible activement les appareils exécutant iOS 18.4 à 18.7. L'exploit exploite six vulnérabilités zero-day pour installer des malwares sur les appareils compromis. Plusieurs acteurs déploient DarkSword contre des utilisateurs en Arabie saoudite, en Ukraine, en Malaisie et en Turquie.

DarkSword délivre un malware conçu pour voler des données sensibles, y compris les identifiants de connexion, l'historique des appels et les informations de localisation. Il cible spécifiquement les applications et portefeuilles de cryptomonnaies sur les appareils infectés. Les utilisateurs visitant des sites Web compromis peuvent déclencher l'exploit à leur insu sans aucune interaction.

Les chercheurs en cybersécurité ont identifié plusieurs familles de malwares de stade final déployées via DarkSword. Celles-ci incluent Ghostblade, Ghostknife et Ghostsaber, qui extraient rapidement les données et s'auto-suppriment ensuite. Les campagnes montrent l'adoption de DarkSword par des fournisseurs de logiciels espions commerciaux et des acteurs soutenus par des États.

Ghostblade cible les échanges et portefeuilles crypto

Ghostblade, déployé par DarkSword, recherche activement des applications d'échange de cryptomonnaies sur les appareils iOS. Il cible les principales plateformes telles que Coinbase, Binance, Kraken, Kucoin, OKX et MEXC. Le malware traque également les portefeuilles populaires, notamment Ledger, Trezor, MetaMask, Exodus, Uniswap, Phantom et Gnosis Safe.

En plus des actifs crypto, Ghostblade collecte les SMS, iMessage, l'historique des appels et les contacts de l'appareil. Il exfiltre également les identifiants Wi-Fi, les cookies Safari, l'historique de navigation et les informations de localisation. Le malware accède aux données de santé, aux photos et à l'historique de messagerie de Telegram et WhatsApp.

Ghostblade fonctionne pour un vol de données à court terme, supprimant les fichiers temporaires et se terminant après l'extraction. Cette conception d'action rapide garantit que des traces minimales restent sur l'appareil infecté. La capacité de DarkSword à délivrer Ghostblade souligne le ciblage croissant des utilisateurs de crypto.

Déploiement mondial et mécanismes d'exploitation

DarkSword a été observé dans des campagnes ciblées utilisant de faux sites Web et des portails gouvernementaux compromis. En Arabie saoudite, un site sur le thème de Snapchat a été utilisé pour infecter des appareils via DarkSword. La chaîne d'exploitation crée des iframes et récupère des modules d'exécution de code à distance pour délivrer le malware.

Différents exploits RCE dans DarkSword ciblent des versions iOS spécifiques, y compris des vulnérabilités de corruption de mémoire et de contournement PAC. La logique du chargeur échoue parfois à différencier les versions d'appareils, reflétant le déploiement rapide de l'outil. Malgré cela, DarkSword installe systématiquement des charges utiles de stade final comme Ghostknife et Ghostsaber.

Les chercheurs ont signalé les vulnérabilités à Apple fin 2025, et des correctifs ont été inclus dans iOS 26.3. Les domaines liés à la livraison de DarkSword sont désormais ajoutés aux listes de navigation sécurisée. Les utilisateurs sont invités à mettre à jour leurs appareils iOS ou à activer le mode Lockdown pour une protection supplémentaire contre les campagnes DarkSword.

DarkSword est devenu une menace importante pour les utilisateurs de cryptomonnaies sur les appareils iOS. L'adoption rapide de l'exploit par plusieurs acteurs signale un risque croissant pour les actifs numériques. Son ciblage des échanges, des portefeuilles et des données personnelles souligne la nécessité de mises à jour immédiates des appareils.

L'article L'exploit DarkSword frappe les appareils iOS ciblant les utilisateurs de crypto est apparu en premier sur CoinCentral.