DarkSword-exploit treft iOS-apparaten van cryptogebruikers

TLDR

• DarkSword treft iOS 18.4–18.7, steelt cryptowallets en persoonlijke gegevens.

• Ghostblade-malware richt zich op Coinbase, Binance, Ledger, MetaMask en meer.

• Exploit wordt geactiveerd via nepwebsites; geen gebruikersactie nodig om apparaten te infecteren.

• Malware in de eindfase verwijdert zichzelf na het snel stelen van gevoelige gegevens.

• Update naar iOS 26.3 of schakel Lockdown-modus in om DarkSword-aanvallen te blokkeren.

Een nieuwe iOS-exploitketen genaamd DarkSword richt zich actief op apparaten met iOS 18.4 tot en met 18.7. De exploit maakt gebruik van zes zero-day-kwetsbaarheden om malware op gecompromitteerde apparaten te installeren. Meerdere actoren zetten DarkSword in tegen gebruikers in Saoedi-Arabië, Oekraïne, Maleisië en Turkije.

DarkSword levert malware die is ontworpen om gevoelige gegevens te stelen, waaronder inloggegevens, oproepgeschiedenis en locatiegegevens. Het richt zich specifiek op cryptocurrency-apps en wallets op geïnfecteerde apparaten. Gebruikers die gecompromitteerde websites bezoeken, kunnen de exploit onbewust activeren zonder enige interactie.

Cybersecurityonderzoekers hebben verschillende malwarefamilies in de eindfase geïdentificeerd die via DarkSword worden ingezet. Deze omvatten Ghostblade, Ghostknife en Ghostsaber, die snel gegevens extraheren en zich daarna zelf verwijderen. De campagnes tonen de acceptatie van DarkSword door zowel commerciële spywareleveranciers als door de staat gesteunde dreigingsactoren.

Ghostblade richt zich op cryptobeurzen en wallets

Ghostblade, ingezet door DarkSword, zoekt actief naar cryptocurrency-exchange-applicaties op iOS-apparaten. Het richt zich op grote platformen zoals Coinbase, Binance, Kraken, Kucoin, OKX en MEXC. De malware jaagt ook op populaire wallets zoals Ledger, Trezor, MetaMask, Exodus, Uniswap, Phantom en Gnosis Safe.

Naast crypto-assets verzamelt Ghostblade SMS, iMessage, oproepgeschiedenis en contacten van het apparaat. Het filtreert ook Wi-Fi-inloggegevens, Safari-cookies, browsegeschiedenis en locatiegegevens. De malware heeft toegang tot gezondheidsgegevens, foto's en berichtgeschiedenis van Telegram en WhatsApp.

Ghostblade werkt voor kortetermijndatadiefstal, verwijdert tijdelijke bestanden en beëindigt zichzelf na extractie. Dit snelle ontwerp zorgt ervoor dat minimale sporen achterblijven op het geïnfecteerde apparaat. Het vermogen van DarkSword om Ghostblade te leveren, benadrukt de toenemende targeting van cryptogebruikers.

Wereldwijde inzet en exploitmechanica

DarkSword is waargenomen in gerichte campagnes met nepwebsites en gecompromitteerde overheidsportalen. In Saoedi-Arabië werd een Snapchat-themasite gebruikt om apparaten te infecteren via DarkSword. De exploitketen creëert iframes en haalt remote code execution-modules op om de malware te leveren.

Verschillende RCE-exploits in DarkSword richten zich op specifieke iOS-versies, waaronder geheugencorruptie en PAC-bypass-kwetsbaarheden. De loaderlogica slaagt er soms niet in om apparaatversies te onderscheiden, wat de snelle inzet van de tool weerspiegelt. Ondanks dit installeert DarkSword consistent eindstadium-payloads zoals Ghostknife en Ghostsaber.

Onderzoekers meldden de kwetsbaarheden eind 2025 aan Apple en patches werden opgenomen in iOS 26.3. Domeinen die gekoppeld zijn aan DarkSword-levering worden nu toegevoegd aan Safe Browsing-lijsten. Gebruikers worden aangespoord om iOS-apparaten bij te werken of Lockdown-modus in te schakelen voor extra bescherming tegen DarkSword-campagnes.

DarkSword is naar voren gekomen als een aanzienlijke bedreiging voor cryptocurrency-gebruikers op iOS-apparaten. De snelle acceptatie van de exploit door meerdere actoren signaleert een groeiend risico voor digitale activa. De targeting van beurzen, wallets en persoonlijke gegevens onderstreept de noodzaak van onmiddellijke apparaatupdates.

Het bericht DarkSword Exploit Hits iOS Devices Targeting Crypto Users verscheen eerst op CoinCentral.