Только что услышал о довольно тревожной ситуации в области безопасности. Команда по разведке угроз Google отметила новое malware для iOS под названием Ghostblade, которое специально разработано для кражи приватных ключей криптовалют и чувствительных данных пользователей. Что делает его особенно опасным, так это способ его работы — он создан на JavaScript и предназначен для быстрого и тихого функционирования, захватывая нужную информацию, а затем исчезая, пока пользователь даже не заметит его присутствия.

Ghostblade является частью более крупной семейства инструментов DarkSword, нацеленных на крипто-пользователей. В отличие от традиционных инфекций, malware не задерживается на устройстве надолго. Вместо этого он активируется кратковременно, извлекает данные, такие как приватные ключи, передает всё на вредоносные серверы, а затем полностью отключается. Такая конструкция делает его чрезвычайно трудно обнаружить, поскольку он не требует дополнительных плагинов и оставляет минимальные следы. Еще более продвинутый — он активно удаляет отчеты о сбоях, которые обычно могли бы предупредить системы телеметрии Apple, фактически скрывая свою деятельность.

Помимо просто кражи приватных ключей, это malware может получать доступ к сообщениям из iMessage, Telegram и WhatsApp. Он также собирает информацию о SIM-карте, данных личности, мультимедийных файлах, геолокации и различных системных настройках. Иными словами, речь идет о довольно полномасштабной операции по краже данных.

Интересно с точки зрения угрозного ландшафта то, что появляется общая тенденция. Согласно данным Nominis, потери от хакерских атак на криптовалюты резко снизились до 49 миллионов долларов в феврале по сравнению с 385 миллионами в январе. На первый взгляд, это хорошая новость, но на самом деле это отражает изменение методов работы злоумышленников. Они отходят от чисто кодовых эксплойтов к социальным инженерным тактикам — фишингу, отравлению кошельков и другим атакам, основанным на человеческом факторе, которые заставляют пользователей раскрывать свои ключи и учетные данные.

В сообществе безопасности говорят, что злоумышленники становятся все умнее в области воздействия на человеческое поведение, а не только на программные уязвимости. Фишинговые кампании усложняются: создаются поддельные сайты, полностью копирующие настоящие платформы, с URL, имитирующими оригинальные. Пользователи вводят приватные ключи или сид-фразы, и злоумышленники получают прямой доступ.

Что это значит для тех, кто реально держит криптовалюту? Гигиена устройств остается критически важной. Обновляйте iOS, по возможности используйте аппаратные кошельки для хранения ключей и будьте крайне осторожны с мессенджерами и веб-интеракциями. Многофакторная аутентификация и биометрические защиты помогают, но самое главное — сохранять скептицизм. Не доверяйте неожиданным запросам на ввод чувствительной информации.

Для разработчиков и платформенных создателей главный вывод ясен — нужны надежные системы против фишинга, безопасное управление ключами и прозрачные предупреждения, когда пользователь собирается выполнить рискованное действие. В криптоиндустрии необходимо лучшее межотраслевое сотрудничество по обмену разведданными о угрозах, особенно в отношении атак на устройства, которые сочетают инструменты браузера с возможностями мобильных ОС.

Следить за развитием экосистемы DarkSword и за следующими отчетами Google Threat Intelligence важно для всех участников рынка. Угрозы явно меняются, и быть в курсе — половина дела.