incrypted.com
- В Украине усиливаются кибератаки на iPhone.
- Появился новый вирус DarkSword, который угрожает криптоинвесторам.
- Эксперты подчеркнули, что iOS-эксплойты, скорее всего, используют российские хакеры.
Киберисследователи зафиксировали новую волну атак на пользователей iPhone в Украине, во время которых злоумышленники не только похищают персональные данные, но и потенциально пытаются получить доступ к криптоактивам. Об этом говорится в отчетах Google, iVerify и Lookout.
По данным специалистов, за кампанией стоит группа UNC6353, которую считают причастной к российским спецслужбам.
Атаки осуществляются через взломанные украинские сайты — так называемые watering hole-кампании. Пользователи заражаются, просто открыв страницу со смартфона.
Новый инструмент DarkSword и риски для криптоинвесторов
Эксперты компаний Google, iVerify и Lookout выявили новый набор инструментов под названием DarkSword, который использует ряд уязвимостей iOS для полной компрометации устройства.
Среди возможностей вредоносного ПО:
- кража паролей, фото и истории браузера;
- доступ к сообщениям в WhatsApp, Telegram и SMS;
- сбор данных о поведении пользователя;
- потенциальный доступ к криптокошелькам.
Особое внимание исследователи обратили на финансовую составляющую атак. В отчете Lookout отмечено:
«Это может свидетельствовать о том, что этот субъект угрозы имеет финансовую мотивацию, или же что эта деятельность, вероятно связанная с российским государством, расширилась до финансовых краж, нацеленных на мобильные устройства».
В то же время один из исследователей уточнил, что прямых доказательств активной кражи криптовалюты пока нет, но техническая возможность для этого заложена.
Инструмент работает быстро и незаметно:
«Время пребывания на устройстве, вероятно, составляет минуты, в зависимости от объема обнаруженных и похищенных данных».
Эволюция кибератак и связь с предыдущими кампаниями
DarkSword стал продолжением развития более раннего инструмента Coruna, который также применяли против украинцев. Тогда, по данным Google, его использовали не только государственные структуры, но и киберпреступники для кражи криптовалюты.
Новый инструмент:
- использует до шести уязвимостей нулевого дня;
- поддерживает iOS версий 18.4–18.7;
- устанавливает вредоносные модули GHOSTBLADE, GHOSTKNIFE и GHOSTSABER;
- применяется различными группами в нескольких странах, включая Украину, Турцию и Саудовскую Аравию.
Исследователи подчеркивают, что распространение таких инструментов свидетельствует о росте доступности высокоуровневого шпионского ПО.
Представитель Lookout отметил:
«UNC6353 — это хорошо финансируемый и связанный субъект угрозы, который проводит атаки с целью финансовой выгоды и шпионажа в соответствии с требованиями российской разведки».
При этом атаки не были точечно направлены — вредоносный код инфицировал всех пользователей, которые заходили на скомпрометированные сайты с территории Украины.
Что это означает для рынка криптоинвестиций?
Появление таких инструментов повышает риски для криптоинвесторов, особенно тех, кто:
- использует мобильные кошельки;
- работает с DeFi или трейдинг-платформами через смартфон;
- хранит приватные ключи или seed-фразы на устройстве.
Кампания также демонстрирует новую тенденцию — сочетание кибершпионажа с потенциальной финансовой мотивацией, в частности в сфере криптовалют.
Напомним, что недавно исследователи компании Ledger также выявили уязвимость в прошивке смартфонов Android, которая позволяет красть криптоактивы из кошельков.