-
09/04/2020
-
128
-
1.709 bài viết
Bộ khai thác “DarkSword” tấn công iPhone, đánh cắp ví crypto và dữ liệu nhạy cảm
Một chiến dịch tấn công mạng có mức độ tinh vi cao vừa bị phát hiện, sử dụng bộ khai thác iOS mới mang tên DarkSword để xâm nhập iPhone và đánh cắp nhiều dữ liệu nhạy cảm. Đáng chú ý, chiến dịch không chỉ dừng ở thu thập thông tin cá nhân mà còn nhắm trực tiếp đến các ứng dụng ví tiền điện tử, mục tiêu có giá trị tài chính cao.
Theo các nhà nghiên cứu, DarkSword được triển khai nhằm vào các thiết bị chạy iOS từ 18.4 đến 18.7. Bộ công cụ này lợi chuỗi 6 lỗ hổng bảo mật (CVE-2025-31277, CVE-2025-43529, CVE-2026-20700, CVE-2025-14174, CVE-2025-43510, CVE-2025-43520), kết hợp nhiều kỹ thuật nguy hiểm như vượt qua sandbox, leo thang đặc quyền và thực thi mã từ xa.
Dù toàn bộ các lỗ hổng đã được Apple vá trong các bản iOS mới, người dùng chưa cập nhật vẫn có nguy cơ bị khai thác trực tiếp khi truy cập các website độc hại.
Chuỗi tấn công “1-click”, kiểm soát sâu hệ thống iPhone
DarkSword được triển khai thông qua trình duyệt Safari, sử dụng kỹ thuật watering hole, chèn iframe độc vào các website hợp pháp đã bị xâm nhập. Khi nạn nhân truy cập, chuỗi khai thác sẽ tự động kích hoạt, giành quyền truy cập kernel và điều khiển thiết bị thông qua thành phần trung tâm pe_main.js.
Tải script khai thác phù hợp dựa trên phiên bản iOS được phát hiện
Nguồn: Lookout
Sau khi chiếm quyền, mã độc tiến hành chèn engine JavaScript vào các dịch vụ hệ thống quan trọng như iCloud, Keychain, Wi-Fi, SpringBoard… từ đó kích hoạt các module đánh cắp dữ liệu:
- GHOSTBLADE: thu thập dữ liệu diện rộng (ảnh, tin nhắn, ví crypto, lịch sử duyệt web)
- GHOSTKNIFE: backdoor trích xuất tài khoản, dữ liệu liên lạc, ghi âm
- GHOSTSABER: thực thi mã, liệt kê thiết bị và đánh cắp thông tin
Dữ liệu bị nhắm tới bao gồm: mật khẩu lưu trữ, ảnh (kể cả ảnh ẩn), cơ sở dữ liệu WhatsApp/Telegram, ví crypto (Coinbase, Binance, Ledger…), SMS, danh bạ, lịch sử cuộc gọi, vị trí, Wi-Fi, cookie, Apple Health và nhiều thông tin hệ thống khác.
Đáng chú ý, sau khi hoàn tất đánh cắp, mã độc tự xóa dấu vết và thoát, cho thấy chiến dịch được thiết kế theo hướng “đánh nhanh, rút gọn”, khó phát hiện và truy vết.
Đáng chú ý, sau khi hoàn tất đánh cắp, mã độc tự xóa dấu vết và thoát, cho thấy chiến dịch được thiết kế theo hướng “đánh nhanh, rút gọn”, khó phát hiện và truy vết.
Các tác nhân sử dụng bộ khai thác iOS DarkSword
Nguồn: GTIG
Nhiều nhóm APT tham gia, mở rộng quy mô toàn cầu
Phân tích cho thấy DarkSword không phải công cụ đơn lẻ mà đang được nhiều nhóm sử dụng:
- UNC6748: tấn công người dùng tại Ả Rập Saudi qua website giả mạo Snapchat
- PARS Defense: triển khai tại Thổ Nhĩ Kỳ, Malaysia với kỹ thuật mã hóa AES/ECDH nhằm che giấu hoạt động
- UNC6353 (nghi vấn liên quan Nga): sử dụng trong chiến dịch watering hole nhắm vào Ukraine
Đáng chú ý, các chuyên gia nhận định DarkSword có dấu hiệu được phát triển với sự hỗ trợ của mô hình ngôn ngữ lớn (LLM), thể hiện qua cấu trúc mã rõ ràng, có chú thích và khả năng mở rộng module - một đặc điểm hiếm thấy ở malware truyền thống.
Chiến dịch DarkSword cho thấy xu hướng tấn công iOS đang chuyển sang mô hình công nghiệp hóa với khả năng tái sử dụng, tùy biến và triển khai nhanh trên nhiều khu vực. Vì vậy người dùng iPhone cần:
Chiến dịch DarkSword cho thấy xu hướng tấn công iOS đang chuyển sang mô hình công nghiệp hóa với khả năng tái sử dụng, tùy biến và triển khai nhanh trên nhiều khu vực. Vì vậy người dùng iPhone cần:
- Cập nhật ngay lên phiên bản iOS mới nhất (khuyến nghị 26.3.1 trở lên)
- Bật Lockdown Mode nếu có nguy cơ bị nhắm mục tiêu
- Hạn chế truy cập website lạ, đặc biệt từ liên kết gửi qua tin nhắn/email
Theo Bleeping Computer