Exploração DarkSword Atinge Dispositivos iOS Visando Utilizadores de Criptomoedas

TLDR

• DarkSword atinge iOS 18.4–18.7, roubando carteiras cripto e dados pessoais.

• O malware Ghostblade tem como alvo Coinbase, Binance, Ledger, MetaMask e outros.

• O exploit é acionado através de sites falsos; nenhuma ação do utilizador é necessária para infetar dispositivos.

• O malware de fase final autodestrói-se após roubar dados sensíveis rapidamente.

• Atualize para iOS 26.3 ou ative o Modo de Bloqueio para bloquear ataques DarkSword.

Uma nova cadeia de exploit iOS chamada DarkSword está a atingir ativamente dispositivos a executar iOS 18.4 a 18.7. O exploit aproveita seis vulnerabilidades de dia zero para instalar malware em dispositivos comprometidos. Vários agentes estão a implementar o DarkSword contra utilizadores na Arábia Saudita, Ucrânia, Malásia e Turquia.

O DarkSword distribui malware concebido para roubar dados sensíveis, incluindo credenciais de login, histórico de chamadas e informações de localização. Tem como alvo específico aplicações de criptomoedas e carteiras em dispositivos infetados. Os utilizadores que visitam sites comprometidos podem acionar involuntariamente o exploit sem qualquer interação.

Investigadores de cibersegurança identificaram várias famílias de malware de fase final implementadas através do DarkSword. Estas incluem Ghostblade, Ghostknife e Ghostsaber, que extraem dados rapidamente e autodestroem-se posteriormente. As campanhas mostram a adoção do DarkSword tanto por fornecedores comerciais de spyware como por agentes patrocinados por estados.

Ghostblade Tem Como Alvo Exchanges Cripto e Carteiras

O Ghostblade, implementado pelo DarkSword, procura ativamente aplicações de exchanges de criptomoedas em dispositivos iOS. Tem como alvo as principais plataformas como Coinbase, Binance, Kraken, Kucoin, OKX e MEXC. O malware também procura carteiras populares incluindo Ledger, Trezor, MetaMask, Exodus, Uniswap, Phantom e Gnosis Safe.

Além de ativos cripto, o Ghostblade recolhe SMS, iMessage, histórico de chamadas e contactos do dispositivo. Também exfiltra credenciais Wi-Fi, cookies do Safari, histórico de navegação e informações de localização. O malware acede a dados de saúde, fotos e histórico de mensagens do Telegram e WhatsApp.

O Ghostblade opera para roubo de dados de curto prazo, eliminando ficheiros temporários e encerrando-se após a extração. Este design de ação rápida garante que permanecem vestígios mínimos no dispositivo infetado. A capacidade do DarkSword de distribuir o Ghostblade destaca o crescente direcionamento a utilizadores de cripto.

Implementação Global e Mecânicas de Exploit

O DarkSword foi observado em campanhas direcionadas utilizando sites falsos e portais governamentais comprometidos. Na Arábia Saudita, um site com tema Snapchat foi utilizado para infetar dispositivos através do DarkSword. A cadeia de exploit cria iframes e obtém módulos de execução remota de código para distribuir o malware.

Diferentes exploits RCE no DarkSword têm como alvo versões iOS específicas, incluindo vulnerabilidades de corrupção de memória e bypass PAC. A lógica do carregador por vezes falha ao diferenciar versões de dispositivos, refletindo a implementação rápida da ferramenta. Apesar disso, o DarkSword instala consistentemente payloads de fase final como Ghostknife e Ghostsaber.

Os investigadores reportaram as vulnerabilidades à Apple no final de 2025, e os patches foram incluídos no iOS 26.3. Os domínios associados à distribuição do DarkSword estão agora adicionados às listas de Navegação Segura. Os utilizadores são instados a atualizar dispositivos iOS ou ativar o Modo de Bloqueio para proteção adicional contra campanhas DarkSword.

O DarkSword emergiu como uma ameaça significativa para utilizadores de criptomoedas em dispositivos iOS. A rápida adoção do exploit por múltiplos agentes sinaliza um risco crescente para ativos digitais. O seu direcionamento a exchanges, carteiras e dados pessoais sublinha a necessidade de atualizações imediatas de dispositivos.

A publicação DarkSword Exploit Hits iOS Devices Targeting Crypto Users apareceu primeiro no CoinCentral.