Google раскрыл хакерскую атаку на iPhone для кражи криптокошельков

21.03.2026 Apple Кибербезопасность Новости Сбои и уязвимости

Специалисты Google Threat Intelligence Group раскрыли сложную цепочку эксплойтов для iOS под кодовым названием DarkSword. В рамках этой структуры используется инструмент Ghostblade, предназначенный для хищения конфиденциальных данных, включая информацию с криптокошельков.

### Суть инцидента
Аналитики Google обнаружили так называемый full-chain эксплойт, который объединяет несколько уязвимостей в операционной системе iOS. Это позволяет злоумышленникам полностью скомпрометировать устройство Apple. Данный программный пакет применялся несколькими хакерскими группами и коммерческими поставщиками шпионского ПО.

Атаки осуществлялись через посещение вредоносных веб-сайтов. При переходе на такой сайт на устройстве незаметно для владельца запускалась цепочка эксплойтов, дающая злоумышленникам доступ к личным данным.

### Механизм работы угрозы
DarkSword задействует ряд уязвимостей, в том числе zero-day, чтобы обойти защитные механизмы iOS и получить расширенные привилегии в системе.

После успешного взлома злоумышленники получают возможность:
* читать сообщения, получать учетные данные и доступ к файлам;
* отслеживать текущее местоположение устройства;
* извлекать данные из установленных приложений, включая криптокошельки;
* выполнять произвольный код на устройстве удаленно.

Сам фреймворк не является монолитным вредоносным ПО — различные группы использовали его модификации, адаптируя инструментарий под конкретные задачи.

### Риск для криптоактивов
Ключевым компонентом пакета выступает модуль Ghostblade. Его основная задача — закрепиться в системе после первоначального проникновения и обеспечить злоумышленникам полный контроль над устройством.

Именно этот инструмент устанавливает соединение с серверами хакеров и осуществляет сбор информации, в том числе данных от криптографических приложений и сид-фраз. Ghostblade предпринимает шаги для маскировки от средств защиты и может загружать дополнительные модули для расширения функционала атаки.

Эксперты компании CertiK дают пользователям iOS ряд рекомендаций для защиты своих активов:
* обновить операционную систему до актуальной версии 26.3;
* если обновление невозможно, активировать режим блокировки устройства;
* проверить историю входов в учетные записи и удалить все подозрительные сессии;
* использовать аппаратные кошельки и никогда не хранить сид-фразы на смартфоне.

### Заказчики и география атак
Согласно данным исследователей, DarkSword применяли как коммерческие поставщики шпионского ПО, так и хакерские группировки, предположительно связанные с государственными структурами.

Атаки с использованием этого инструмента были зафиксированы на территории нескольких стран, включая Украину, Турцию и ряд государств Ближнего Востока.

Эксперты отмечают, что появление DarkSword отражает тревожную тенденцию: сложные инструменты для взлома, ранее бывшие в арсенале лишь государственных организаций, теперь становятся доступными для более широкого круга злоумышленников.

Напомним, что ранее в марте команда безопасности Ledger (Donjon) обнаружила критическую уязвимость в Android-смартфонах с процессорами MediaTek. Этот баг позволял похитить ключи от криптокошельков всего за несколько минут.

Обменять