ثغرة DarkSword تستهدف أجهزة iOS لمستخدمي الكريبتو

ملخص سريع

• يستهدف DarkSword نظام iOS 18.4–18.7، ويسرق محافظ التشفير والبيانات الشخصية.

• تستهدف برمجية Ghostblade الخبيثة Coinbase وBinance وLedger وMetaMask وغيرها.

• يتم تشغيل الاستغلال عبر مواقع مزيفة؛ لا حاجة لإجراء من المستخدم لإصابة الأجهزة.

• تحذف البرمجية الخبيثة في المرحلة النهائية نفسها بعد سرقة البيانات الحساسة بسرعة.

• قم بالتحديث إلى iOS 26.3 أو تمكين وضع القفل لحظر هجمات DarkSword.

تستهدف سلسلة استغلال جديدة لنظام iOS تسمى DarkSword بنشاط الأجهزة التي تعمل بنظام iOS 18.4 حتى 18.7. يستفيد الاستغلال من ست ثغرات يوم الصفر لتثبيت برامج ضارة على الأجهزة المخترقة. يقوم العديد من الجهات الفاعلة بنشر DarkSword ضد المستخدمين في المملكة العربية السعودية وأوكرانيا وماليزيا وتركيا.

يقدم DarkSword برامج ضارة مصممة لسرقة البيانات الحساسة، بما في ذلك بيانات اعتماد تسجيل الدخول وسجل المكالمات ومعلومات الموقع. يستهدف على وجه التحديد تطبيقات العملة المشفرة والمحافظ على الأجهزة المصابة. يمكن للمستخدمين الذين يزورون المواقع المخترقة أن يطلقوا الاستغلال دون علم دون أي تفاعل.

حدد باحثو الأمن السيبراني العديد من عائلات البرامج الضارة في المرحلة النهائية المنشورة من خلال DarkSword. وتشمل هذه Ghostblade وGhostknife وGhostsaber، والتي تستخرج البيانات بسرعة وتحذف نفسها بعد ذلك. تُظهر الحملات اعتماد DarkSword من قبل موردي برامج التجسس التجارية والجهات الفاعلة المدعومة من الدولة.

تستهدف Ghostblade بورصات التشفير والمحافظ

تبحث Ghostblade، المنشورة بواسطة DarkSword، بنشاط عن تطبيقات بورصة العملات المشفرة على أجهزة iOS. تستهدف المنصات الرئيسية مثل Coinbase وBinance وKraken وKucoin وOKX وMEXC. تبحث البرمجية الخبيثة أيضًا عن المحافظ الشهيرة بما في ذلك Ledger وTrezor وMetaMask وExodus وUniswap وPhantom وGnosis Safe.

بالإضافة إلى أصول التشفير، تجمع Ghostblade الرسائل القصيرة وiMessage وسجل المكالمات وجهات الاتصال من الجهاز. كما تستخرج بيانات اعتماد Wi-Fi وملفات تعريف الارتباط Safari وسجل التصفح ومعلومات الموقع. تصل البرمجية الخبيثة إلى البيانات الصحية والصور وسجل المراسلة من Telegram وWhatsApp.

تعمل Ghostblade على سرقة البيانات قصيرة المدى، وحذف الملفات المؤقتة وإنهاء نفسها بعد الاستخراج. يضمن هذا التصميم سريع الإجراء بقاء آثار ضئيلة على الجهاز المصاب. تُبرز قدرة DarkSword على تقديم Ghostblade الاستهداف المتزايد لمستخدمي التشفير.

الانتشار العالمي وآليات الاستغلال

لوحظ DarkSword في حملات مستهدفة باستخدام مواقع ويب مزيفة وبوابات حكومية مخترقة. في المملكة العربية السعودية، استُخدم موقع بموضوع Snapchat لإصابة الأجهزة من خلال DarkSword. تنشئ سلسلة الاستغلال إطارات iframe وتجلب وحدات تنفيذ التعليمات البرمجية عن بُعد لتقديم البرامج الضارة.

تستهدف عمليات استغلال RCE المختلفة في DarkSword إصدارات iOS محددة، بما في ذلك ثغرات تلف الذاكرة وتجاوز PAC. يفشل منطق التحميل أحيانًا في التمييز بين إصدارات الأجهزة، مما يعكس النشر السريع للأداة. على الرغم من ذلك، يثبت DarkSword باستمرار حمولات المرحلة النهائية مثل Ghostknife وGhostsaber.

أبلغ الباحثون عن الثغرات الأمنية إلى Apple في أواخر عام 2025، وتم تضمين التصحيحات في iOS 26.3. تتم الآن إضافة النطاقات المرتبطة بتسليم DarkSword إلى قوائم التصفح الآمن. يُحث المستخدمون على تحديث أجهزة iOS أو تمكين وضع القفل لمزيد من الحماية ضد حملات DarkSword.

ظهر DarkSword كتهديد كبير لمستخدمي العملة المشفرة على أجهزة iOS. يشير الاعتماد السريع للاستغلال من قبل العديد من الجهات الفاعلة إلى خطر متزايد على الأصول الرقمية. يؤكد استهدافه للبورصات والمحافظ والبيانات الشخصية على الحاجة إلى تحديثات الأجهزة الفورية.

ظهر منشور استغلال DarkSword يضرب أجهزة iOS مستهدفًا مستخدمي التشفير لأول مرة على CoinCentral.