Resumen

  • Investigadores de Google han descubierto una cadena de explotación en iOS llamada DarkSword que afecta a iPhones que operan con versiones de iOS desde la 18.4 hasta la 18.7.
  • Este exploit puede utilizarse para introducir el malware Ghostblade, que tiene como objetivo específico aplicaciones de intercambio y billeteras de criptomonedas.
  • Se han observado campañas que emplean DarkSword en Arabia Saudita, Turquía, Malasia y Ucrania, con ataques que han comprometido sitios web gubernamentales.

Investigadores de Google han detectado una cadena de explotación en iOS que se utiliza activamente para introducir malware diseñado específicamente para aplicaciones de criptomonedas en iPhones vulnerables.

El exploit, denominado DarkSword, aprovecha seis vulnerabilidades para desplegar malware en dispositivos que ejecutan las versiones de iOS de la 18.4 a la 18.7, según el estudio realizado.

Cuando un usuario visita un sitio web malicioso o comprometido con un dispositivo vulnerable, el exploit se utiliza para introducir el malware, que incluye un ladrón de datos basado en JavaScript llamado Ghostblade, que busca activamente aplicaciones de intercambio de criptomonedas importantes como Coinbase, Binance, Kraken, Kucoin, OKX y MEXC.

Ghostblade también rastrea aplicaciones de billeteras criptográficas populares, como Ledger, Trezor, MetaMask, Exodus, Uniswap, Phantom y Gnosis Safe, mientras que simultáneamente exfiltra mensajes de SMS e iMessage, historial de llamadas, contactos, contraseñas de Wi-Fi, cookies y datos de navegación de Safari, así como información de ubicación, datos de salud, fotos, contraseñas guardadas y el historial de mensajes de Telegram y WhatsApp.

Varios actores han desplegado este exploit, que va desde proveedores de spyware comercial hasta grupos respaldados por estados, con campañas observadas en Arabia Saudita utilizando una imitación falsa de Snapchat, y en Ucrania a través de sitios web comprometidos que incluyen un sitio gubernamental.

Ghostblade está diseñado para la rápida sustracción de datos en lugar de una vigilancia prolongada; recopila toda la información disponible, luego elimina sus archivos temporales y se autodestruye.

Este nuevo desarrollo se suma a una ola de malware que apunta a usuarios de criptomonedas, incluyendo el malware Inferno Drainer que robó alrededor de 9 millones de dólares a usuarios de criptomonedas durante un periodo de seis meses el año pasado, así como una campaña que involucró smartphones Android falsificados precargados con malware para robo de criptomonedas.


Informe Diario Newsletter

Comienza cada día con las principales noticias del momento, junto con características originales, un pódcast, videos y más.

Fuente: decrypt.co