网络安全研究人员近期揭露了一种名为DarkSword的复杂攻击链,该攻击链能够成功入侵运行iOS 18.4至18.7版本的苹果设备。该攻击框架利用了六个此前未知的零日安全漏洞,在目标iPhone上部署监控恶意软件。目前已在沙特阿拉伯、乌克兰、马来西亚和土耳其等国家检测到活跃的攻击活动,表明其部署范围广泛。
DarkSword框架能够安装窃取数据的恶意软件,其能力范围涵盖身份验证凭证、通信记录以及地理位置信息。在此次恶意活动中,加密货币应用程序和数字钱包成为了主要的攻击目标。用户一旦访问被武器化的网页,即可能遭受感染,整个过程无需任何点击或下载操作。
安全分析师已记录到通过DarkSword分发的至少三种不同的恶意软件变种:Ghostblade、Ghostknife和Ghostsaber。这些恶意软件载荷能够迅速提取目标信息,并在完成任务后自动从受感染系统中移除自身。
**Ghostblade恶意软件专注于攻击加密货币应用程序**
除了窃取数字货币,Ghostblade还能从受感染设备上搜集文本消息、iMessage、通话记录以及联系人列表。该间谍软件还会提取Wi-Fi密码、Safari浏览器Cookie、浏览历史记录以及GPS坐标。此外,它还能访问Apple Health记录、照片库以及Telegram和WhatsApp等消息平台的对话内容。
Ghostblade采用“打了就跑”的策略,在完成数据提取后会清除临时性痕迹并自我销毁,最大限度地减少在受感染设备上留下的取证证据。通过DarkSword部署Ghostblade,凸显了加密货币持有者正面临日益严峻的威胁。
**全球攻击活动分布与技术操作**
DarkSword的部署已被证实通过被武器化的网站和被劫持的政府网站进行。沙特阿拉伯的用户曾被一个伪装成Snapchat主题的虚假页面所诱骗,该页面托管了DarkSword的漏洞利用代码。该攻击框架通过生成隐藏的iframe并检索远程代码执行模块,从而注入恶意软件载荷。
安全团队已于2025年底向苹果公司披露了这些漏洞,并在iOS 26.3版本中发布了修复补丁。与DarkSword分发相关的域名已被纳入浏览器的安全浏览数据库。iPhone用户应立即安装最新的iOS更新或启用锁定模式,以防御DarkSword的潜在攻击。
DarkSword对全球iOS加密货币用户构成了严峻的安全挑战。该漏洞利用的迅速传播及其被各类威胁行为者采用的现状,表明了数字金融资产面临的风险正在加剧。其全面针对交易所、钱包和个人信息的行为,更加凸显了尽快应用可用安全补丁的紧迫性。