Google Threat Intel 標記 Ghostblade 為竊取加密貨幣的惡意軟體

Google威脅情報已標記一款名為「Ghostblade」的新型加密貨幣竊取惡意軟體,目標鎖定Apple iOS裝置。Ghostblade被描述為基於瀏覽器的DarkSword工具家族的一部分,其設計目的是以快速、隱密的方式竊取私鑰和其他敏感資料,而非持續存在於裝置上。

Ghostblade以JavaScript編寫,會啟動、從受感染裝置收集資料,並將其傳送到惡意伺服器後關閉。研究人員指出,該惡意軟體的設計使其更難被檢測,因為它不需要額外的外掛程式,並在資料提取完成後即停止運作。Google威脅情報團隊強調,Ghostblade還會透過刪除崩潰報告來避免被檢測,否則這些報告會警示Apple的遙測系統。

除了私鑰之外,該惡意軟體還能夠存取和傳輸來自iMessage、Telegram和WhatsApp的訊息資料。它還可以收集SIM卡資訊、使用者身份詳細資料、多媒體檔案、地理位置資料,並存取各種系統設定。Google指出,Ghostblade所屬的更廣泛DarkSword框架是一系列不斷演進的威脅的一部分,展示了攻擊者如何持續改進其工具包以鎖定加密貨幣使用者。

對於追蹤威脅趨勢的讀者來說,Ghostblade與Google威脅情報所描述的DarkSword iOS漏洞利用鏈的其他組件並列。這組工具在更廣泛的加密貨幣威脅演變背景下被觀察到,包括關於用於加密貨幣網路釣魚活動的iOS漏洞利用工具包的報告。

重點摘要

• Ghostblade代表iOS上基於JavaScript的加密貨幣竊取威脅,作為DarkSword生態系統的一部分提供,專為快速資料外洩而設計。
• 該惡意軟體短暫且非連續運作,降低了長期在裝置上立足的可能性,並使檢測變得複雜。
• 它可以傳送來自iMessage、Telegram和WhatsApp的敏感資料,並可存取SIM資訊、身份資料、多媒體、地理位置和系統設定,同時還會刪除崩潰報告以逃避發現。
• 這一發展與威脅態勢中更廣泛的轉變相一致,轉向利用人類行為而非僅僅軟體漏洞的社交工程和資料提取策略。
• 根據Nominis的數據,2月的加密貨幣駭客損失從1月的3.85億美元大幅下降到4,900萬美元,顯示從基於程式碼的入侵轉向網路釣魚和錢包中毒技術。

Ghostblade與DarkSword生態系統:已知資訊

Google的研究人員將Ghostblade描述為DarkSword家族的一個組件——一套基於瀏覽器的惡意軟體工具,透過竊取私鑰和相關資料來鎖定加密貨幣使用者。Ghostblade的JavaScript核心允許與裝置快速互動,同時保持輕量級和暫時性。這種設計選擇與其他近期的裝置上威脅一致,這些威脅偏好快速資料外洩週期而非長期感染。

實際上,該惡意軟體的功能不僅限於竊取密鑰。透過存取iMessage、Telegram和WhatsApp等訊息應用程式,攻擊者可以攔截對話、憑證和潛在的敏感附件。包含SIM卡資訊和地理位置存取擴大了潛在的攻擊面,使更全面的身份盜竊和欺詐場景成為可能。至關重要的是,該惡意軟體清除崩潰報告的能力進一步掩蓋了活動,使受害者和防禦者的感染後鑑識變得複雜。

作為更廣泛DarkSword討論的一部分,Ghostblade凸顯了裝置上威脅情報中持續進行的軍備競賽。Google威脅情報將DarkSword定位為最新範例之一,說明惡意行為者如何持續改進針對iOS的攻擊鏈,利用使用者對其裝置以及他們依賴的日常通訊和金融應用程式的高度信任。

從以程式碼為中心的入侵到人為因素利用

2026年2月的加密貨幣駭客態勢反映了攻擊者行為的顯著轉變。根據Nominis的數據,加密貨幣駭客的總損失在2月降低到4,900萬美元,從1月的3.85億美元大幅下降。該公司將這一下降歸因於從純粹基於程式碼的威脅轉向利用人為錯誤的方案,包括網路釣魚嘗試、錢包中毒攻擊,以及其他導致使用者無意中洩露密鑰或憑證的社交工程手段。

網路釣魚仍然是核心策略。攻擊者部署設計成類似合法平台的假網站,通常使用模仿真實網站的URL來誘使使用者輸入私鑰、助記詞或錢包密碼。當使用者與這些仿冒介面互動時——無論是登入、批准交易還是貼上敏感資料——攻擊者都會直接獲得資金和憑證的存取權限。這種轉向針對人類的利用對交易所、錢包和使用者必須如何保護自己產生了影響,在技術保障措施之外強調使用者教育。

2月的資料點與更廣泛的產業敘事相一致:雖然程式碼級別的漏洞利用和零日漏洞繼續成熟,但加密貨幣持有風險的日益增長部分來自利用既定人類行為的社交工程利用——信任、緊迫感以及習慣性使用熟悉介面。對產業觀察者來說,要點不僅在於修補軟體漏洞,還在於透過教育、更強大的身份驗證以及更安全的錢包使用者入門體驗來強化安全的人為因素。

對使用者、錢包和建構者的影響

Ghostblade的出現——以及伴隨的以人為中心的攻擊趨勢——突顯了使用者和開發者的幾個實用要點。首先,裝置衛生仍然至關重要。保持iOS更新、應用應用程式和瀏覽器強化措施,以及使用硬體錢包或安全區域來保護私鑰,可以提高對快速外洩攻擊的防護門檻。

其次,使用者應對訊息應用程式和網頁界面保持高度謹慎。裝置上資料存取與網路釣魚式欺騙的融合意味著即使是看似良性的互動——開啟連結、批准權限或貼上助記詞——都可能成為盜竊的途徑。多因素身份驗證、身份驗證應用程式和生物辨識保護可以幫助降低風險,但對意外提示的教育和懷疑同樣重要。

對於建構者來說,Ghostblade案例強調了反網路釣魚控制、安全密鑰管理流程以及圍繞敏感操作的透明使用者警告的重要性。它還強化了持續威脅情報共享的價值——特別是圍繞將基於瀏覽器的工具與行動作業系統功能結合的裝置上威脅。跨產業合作對於在新型利用鏈廣泛生效之前檢測到它們仍然至關重要。

接下來要關注什麼

隨著Google威脅情報和其他研究人員繼續追蹤與DarkSword相關的活動,觀察者應監控iOS漏洞利用鏈的更新以及類似隱密、短時間惡意軟體的出現。2月轉向人為因素漏洞表明,未來防禦者必須同時加強技術保障措施和面向使用者的教育,以減少對網路釣魚和錢包中毒方案的暴露。對讀者來說,下一個里程碑包括任何關於iOS加密貨幣威脅的正式威脅情報建議、安全供應商的新檢測,以及主要平台如何調整其反網路釣魚和欺詐預防措施以應對這些不斷演進的策略。

與此同時,密切關注威脅情報支援——例如Google威脅情報關於DarkSword和相關iOS漏洞利用的報告,以及來自Nominis和其他區塊鏈安全研究人員的持續分析——對於評估風險和完善針對加密貨幣網路犯罪的防禦措施至關重要。

本文最初以Google Threat Intel Flags Ghostblade as Crypto-Stealing Malware為標題發表於Crypto Breaking News——您值得信賴的加密貨幣新聞、Bitcoin新聞和區塊鏈更新來源。