گوگل تهدید اینتل Ghostblade را به عنوان بدافزار سارق کریپتو علامت‌گذاری می‌کند

Google Threat Intelligence بدافزار جدید سرقت ارز دیجیتال به نام "Ghostblade" را که دستگاه‌های iOS اپل را هدف قرار می‌دهد، شناسایی کرده است. Ghostblade که بخشی از خانواده ابزارهای مبتنی بر مرورگر DarkSword توصیف می‌شود، برای استخراج کلیدهای خصوصی و سایر داده‌های حساس به صورت سریع و مخفیانه طراحی شده است، نه به صورت حضور مداوم و دائمی روی دستگاه.

Ghostblade که با JavaScript نوشته شده، فعال می‌شود، داده‌ها را از دستگاه آسیب‌دیده جمع‌آوری کرده و قبل از خاموش شدن آن‌ها را به سرورهای مخرب ارسال می‌کند. محققان خاطرنشان می‌کنند که طراحی این بدافزار، شناسایی آن را سخت‌تر می‌کند، زیرا نیازی به افزونه‌های اضافی ندارد و پس از تکمیل استخراج داده، عملیات خود را متوقف می‌کند. تیم اطلاعاتی تهدید Google تأکید می‌کند که Ghostblade همچنین با حذف گزارش‌های خرابی که در غیر این صورت سیستم‌های تله‌متری Apple را هشدار می‌دهند، اقداماتی برای جلوگیری از شناسایی انجام می‌دهد.

فراتر از کلیدهای خصوصی، این بدافزار قادر به دسترسی و انتقال داده‌های پیام‌رسانی از iMessage، تلگرام و WhatsApp است. همچنین می‌تواند اطلاعات کارت SIM، جزئیات هویت کاربر، فایل‌های چندرسانه‌ای، داده‌های موقعیت جغرافیایی را جمع‌آوری کرده و به تنظیمات مختلف سیستم دسترسی داشته باشد. چارچوب گسترده‌تر DarkSword که Ghostblade به آن تعلق دارد، توسط Google به عنوان بخشی از مجموعه در حال تکامل تهدیدات ذکر شده است که نشان می‌دهد مهاجمان چگونه به طور مداوم ابزارهای خود را برای هدف قرار دادن کاربران ارز دیجیتال اصلاح می‌کنند.

برای خوانندگانی که روندهای تهدید را دنبال می‌کنند، Ghostblade در کنار سایر اجزای زنجیره بهره‌برداری iOS DarkSword که توسط Google Threat Intelligence توصیف شده، قرار دارد. این مجموعه ابزارها در زمینه گسترده‌تری از تکامل تهدیدات ارز دیجیتال، از جمله گزارش‌هایی در مورد کیت‌های بهره‌برداری مبتنی بر iOS که در کمپین‌های فیشینگ ارز دیجیتال استفاده می‌شوند، مشاهده می‌شود.

نکات کلیدی

• Ghostblade نشان‌دهنده یک تهدید سرقت ارز دیجیتال مبتنی بر JavaScript در iOS است که به عنوان بخشی از اکوسیستم DarkSword ارائه شده و برای استخراج سریع داده طراحی شده است.
• این بدافزار به طور مختصر و غیرمستمر عمل می‌کند و احتمال پایگاه‌های طولانی‌مدت دستگاه را کاهش داده و شناسایی را پیچیده می‌کند.
• می‌تواند داده‌های حساس از iMessage، تلگرام و WhatsApp را منتقل کند و می‌تواند به اطلاعات SIM، داده‌های هویتی، چندرسانه‌ای، موقعیت جغرافیایی و تنظیمات سیستم دسترسی داشته باشد، در حالی که گزارش‌های خرابی را نیز برای فرار از کشف پاک می‌کند.
• این توسعه با تغییر گسترده‌تر در چشم‌انداز تهدید به سمت تاکتیک‌های مهندسی اجتماعی و استخراج داده که رفتار انسانی را مورد بهره‌برداری قرار می‌دهند، نه فقط آسیب‌پذیری‌های نرم‌افزاری، هماهنگ است.
• طبق گزارش Nominis، ضررهای هک ارز دیجیتال در فوریه به شدت از ۳۸۵ میلیون دلار در ژانویه به ۴۹ میلیون دلار کاهش یافت که نشان‌دهنده چرخش از نفوذهای مبتنی بر کد به تکنیک‌های فیشینگ و مسموم‌سازی کیف پول است.

Ghostblade و اکوسیستم DarkSword: آنچه شناخته شده است

محققان Google، Ghostblade را به عنوان جزئی از خانواده DarkSword توصیف می‌کنند - مجموعه‌ای از ابزارهای بدافزار مبتنی بر مرورگر که کاربران ارز دیجیتال را با سرقت کلیدهای خصوصی و داده‌های مرتبط هدف قرار می‌دهند. هسته JavaScript Ghostblade تعامل سریع با دستگاه را امکان‌پذیر می‌کند در حالی که سبک و گذرا باقی می‌ماند. این انتخاب طراحی با سایر تهدیدات اخیر روی دستگاه که چرخه‌های استخراج سریع داده را بر عفونت‌های طولانی‌مدت ترجیح می‌دهند، سازگار است.

در عمل، قابلیت‌های این بدافزار فراتر از سرقت صرف کلید است. با دسترسی به برنامه‌های پیام‌رسانی مانند iMessage، تلگرام و WhatsApp، مهاجمان می‌توانند مکالمات، اعتبارنامه‌ها و پیوست‌های حساس بالقوه را رهگیری کنند. گنجاندن اطلاعات کارت SIM و دسترسی به موقعیت جغرافیایی، سطح حمله بالقوه را گسترش می‌دهد و سناریوهای سرقت هویت و کلاهبرداری جامع‌تری را امکان‌پذیر می‌کند. به طور حیاتی، توانایی این بدافزار برای پاک کردن گزارش‌دهی خرابی، فعالیت را بیشتر مبهم کرده و پزشکی قانونی پس از عفونت را برای قربانیان و مدافعان پیچیده‌تر می‌کند.

به عنوان بخشی از گفتمان گسترده‌تر DarkSword، Ghostblade بر مسابقه تسلیحاتی مداوم در اطلاعات تهدید روی دستگاه تأکید می‌کند. Google Threat Intelligence، DarkSword را به عنوان یکی از آخرین نمونه‌ها معرفی کرده است که نشان می‌دهد چگونه عوامل مخرب به اصلاح زنجیره‌های حمله متمرکز بر iOS ادامه می‌دهند و از اعتماد قوی کاربران به دستگاه‌های خود و برنامه‌هایی که برای ارتباطات روزانه و امور مالی به آن‌ها تکیه می‌کنند، سوءاستفاده می‌کنند.

از نفوذهای متمرکز بر کد به بهره‌برداری‌های عامل انسانی

چشم‌انداز هک ارز دیجیتال در فوریه ۲۰۲۶ منعکس‌کننده تغییر قابل توجهی در رفتار مهاجم است. طبق گزارش Nominis، کل ضررهای ناشی از هک‌های ارز دیجیتال در فوریه به ۴۹ میلیون دلار کاهش یافت که سقوط شدیدی نسبت به ۳۸۵ میلیون دلار در ژانویه است. این شرکت کاهش را به چرخش از تهدیدات صرفاً مبتنی بر کد به سمت طرح‌هایی که از خطای انسانی استفاده می‌کنند، از جمله تلاش‌های فیشینگ، حملات مسموم‌سازی کیف پول و سایر بردارهای مهندسی اجتماعی که کاربران را ناخواسته به افشای کلیدها یا اعتبارنامه‌ها سوق می‌دهند، نسبت می‌دهد.

فیشینگ یک تاکتیک مرکزی باقی می‌ماند. مهاجمان وب‌سایت‌های جعلی طراحی‌شده برای شباهت به پلتفرم‌های قانونی را مستقر می‌کنند، اغلب با URLهایی که سایت‌های واقعی را تقلید می‌کنند تا کاربران را به وارد کردن کلیدهای خصوصی، عبارات بازیابی یا رمزهای عبور کیف پول فریب دهند. وقتی کاربران با این رابط‌های شبیه تعامل می‌کنند - چه با ورود به سیستم، تأیید تراکنش‌ها یا چسباندن داده‌های حساس - مهاجمان دسترسی مستقیم به وجوه و اعتبارنامه‌ها به دست می‌آورند. این تغییر به سمت بهره‌برداری‌های هدف‌گیری انسانی پیامدهایی برای نحوه دفاع صرافی‌ها، کیف پول‌ها و کاربران دارد و بر آموزش کاربر در کنار محافظت‌های فنی تأکید می‌کند.

نقطه داده فوریه با روایت صنعت گسترده‌تر هماهنگ است: در حالی که بهره‌برداری‌های سطح کد و روزهای صفر به بلوغ ادامه می‌دهند، سهم رو به رشدی از ریسک برای دارایی‌های ارز دیجیتال از بهره‌برداری‌های مهندسی اجتماعی که رفتارهای انسانی به خوبی تثبیت‌شده - اعتماد، فوریت و استفاده عادی از رابط‌های آشنا - را مورد بهره‌برداری قرار می‌دهند، ناشی می‌شود. برای ناظران صنعت، نکته کلیدی نه تنها در مورد وصله کردن آسیب‌پذیری‌های نرم‌افزاری است، بلکه در مورد تقویت عنصر انسانی امنیت از طریق آموزش، احراز هویت قوی‌تر و تجربیات آغاز به کار ایمن‌تر برای کاربران کیف پول است.

پیامدها برای کاربران، کیف پول‌ها و سازندگان

ظهور Ghostblade - و روند همراه به سمت حملات متمرکز بر انسان - چندین نکته عملی را برای کاربران و توسعه‌دهندگان به یکسان برجسته می‌کند. اول، بهداشت دستگاه حیاتی باقی می‌ماند. به‌روز نگه داشتن iOS، اعمال اقدامات سخت‌سازی برنامه و مرورگر، و استفاده از کیف پول‌های سخت‌افزاری یا محفظه‌های امن برای کلیدهای خصوصی می‌تواند مانع در برابر حملات استخراج سریع را افزایش دهد.

دوم، کاربران باید احتیاط بیشتری با برنامه‌های پیام‌رسانی و سطوح وب اعمال کنند. همگرایی دسترسی به داده‌های روی دستگاه با فریب به سبک فیشینگ به این معناست که حتی تعاملات به ظاهر خوش‌خیم - باز کردن یک لینک، تأیید یک مجوز، یا چسباندن یک عبارت بازیابی - می‌تواند دروازه‌ای برای سرقت شود. احراز هویت دو عاملی، برنامه‌های احراز هویت و حفاظت‌های بیومتریک می‌توانند به کاهش ریسک کمک کنند، اما آموزش و شک و تردید در مورد اعلان‌های غیرمنتظره به همان اندازه حیاتی هستند.

برای سازندگان، مورد Ghostblade بر اهمیت کنترل‌های ضد فیشینگ، جریان‌های مدیریت کلید امن و هشدارهای شفاف کاربر در مورد عملیات حساس تأکید می‌کند. همچنین ارزش به اشتراک‌گذاری مداوم اطلاعات تهدید را - به ویژه در مورد تهدیدات روی دستگاه که ابزارهای مبتنی بر مرورگر را با ویژگی‌های سیستم عامل موبایل ترکیب می‌کنند - تقویت می‌کند. همکاری بین صنعتی برای شناسایی زنجیره‌های بهره‌برداری جدید قبل از اینکه به طور گسترده مؤثر شوند، ضروری باقی می‌ماند.

چه چیزی را بعداً تماشا کنیم

همانطور که Google Threat Intelligence و سایر محققان به ردیابی فعالیت مرتبط با DarkSword ادامه می‌دهند، ناظران باید به‌روزرسانی‌های زنجیره بهره‌برداری iOS و ظهور بدافزار مشابه مخفیانه و کوتاه‌مدت را زیر نظر داشته باشند. تغییر فوریه به سمت آسیب‌پذیری‌های عامل انسانی آینده‌ای را پیشنهاد می‌کند که در آن مدافعان باید هم محافظت‌های فنی و هم آموزش رو به کاربر را تقویت کنند تا قرار گرفتن در معرض طرح‌های فیشینگ و مسموم‌سازی کیف پول را کاهش دهند. برای خوانندگان، نقاط عطف بعدی شامل هر مشاوره رسمی اطلاعات تهدید در مورد تهدیدات ارز دیجیتال iOS، تشخیص‌های جدید از فروشندگان امنیت و نحوه تطبیق پلتفرم‌های اصلی اقدامات ضد فیشینگ و پیشگیری از کلاهبرداری خود در پاسخ به این دفترچه‌های راهنمای در حال تکامل است.

در همین حال، نگه داشتن چشم هوشیار بر پشتیبان‌های اطلاعات تهدید - مانند گزارش Google Threat Intelligence در مورد DarkSword و بهره‌برداری‌های مرتبط با iOS، همراه با تحلیل‌های مداوم از Nominis و سایر محققان امنیت بلاک چین - برای ارزیابی ریسک و اصلاح دفاع در برابر جرائم سایبری متمرکز بر ارز دیجیتال ضروری خواهد بود.

این مقاله در ابتدا به عنوان Google Threat Intel Flags Ghostblade as Crypto-Stealing Malware در Crypto Breaking News منتشر شد - منبع مورد اعتماد شما برای اخبار ارز دیجیتال، اخبار Bitcoin و به‌روزرسانی‌های بلاک چین.