Связанные с РФ хакеры использовали новый вирус DarkSword для атак на украинцев через iPhone

• В Украине усиливаются кибератаки на iPhone.
• Появился новый вирус DarkSword, который угрожает криптоинвесторам.
• Эксперты подчеркнули, что iOS-эксплойты, скорее всего, используют российские хакеры.

Киберисследователи зафиксировали новую волну атак на пользователей iPhone в Украине, во время которых злоумышленники не только похищают персональные данные, но и потенциально пытаются получить доступ к криптоактивам. Об этом говорится в отчетах Google, iVerify и Lookout.

По данным специалистов, за кампанией стоит группа UNC6353, которую считают причастной к российским спецслужбам.

Атаки осуществляются через взломанные украинские сайты — так называемые watering hole-кампании. Пользователи заражаются, просто открыв страницу со смартфона.

Новый инструмент DarkSword и риски для криптоинвесторов

Эксперты компаний Google, iVerify и Lookout выявили новый набор инструментов под названием DarkSword, который использует ряд уязвимостей iOS для полной компрометации устройства.

Среди возможностей вредоносного ПО:

• кража паролей, фото и истории браузера;
• доступ к сообщениям в WhatsApp, Telegram и SMS;
• сбор данных о поведении пользователя;
• потенциальный доступ к криптокошелькам.

Особое внимание исследователи обратили на финансовую составляющую атак. В отчете Lookout отмечено:

«Это может свидетельствовать о том, что этот субъект угрозы имеет финансовую мотивацию, или же что эта деятельность, вероятно связанная с российским государством, расширилась до финансовых краж, нацеленных на мобильные устройства».

В то же время один из исследователей уточнил, что прямых доказательств активной кражи криптовалюты пока нет, но техническая возможность для этого заложена.

Инструмент работает быстро и незаметно:

«Время пребывания на устройстве, вероятно, составляет минуты, в зависимости от объема обнаруженных и похищенных данных».

Эволюция кибератак и связь с предыдущими кампаниями

DarkSword стал продолжением развития более раннего инструмента Coruna, который также применяли против украинцев. Тогда, по данным Google, его использовали не только государственные структуры, но и киберпреступники для кражи криптовалюты.

Новый инструмент:

• использует до шести уязвимостей нулевого дня;
• поддерживает iOS версий 18.4–18.7;
• устанавливает вредоносные модули GHOSTBLADE, GHOSTKNIFE и GHOSTSABER;
• применяется различными группами в нескольких странах, включая Украину, Турцию и Саудовскую Аравию.

Исследователи подчеркивают, что распространение таких инструментов свидетельствует о росте доступности высокоуровневого шпионского ПО.

Представитель Lookout отметил:

«UNC6353 — это хорошо финансируемый и связанный субъект угрозы, который проводит атаки с целью финансовой выгоды и шпионажа в соответствии с требованиями российской разведки».

При этом атаки не были точечно направлены — вредоносный код инфицировал всех пользователей, которые заходили на скомпрометированные сайты с территории Украины.

Что это означает для рынка криптоинвестиций?

Появление таких инструментов повышает риски для криптоинвесторов, особенно тех, кто:

• использует мобильные кошельки;
• работает с DeFi или трейдинг-платформами через смартфон;
• хранит приватные ключи или seed-фразы на устройстве.

Кампания также демонстрирует новую тенденцию — сочетание кибершпионажа с потенциальной финансовой мотивацией, в частности в сфере криптовалют.

Напомним, что недавно исследователи компании Ledger также выявили уязвимость в прошивке смартфонов Android, которая позволяет красть криптоактивы из кошельков.

Источник