El exploit DarkSword ataca dispositivos iOS dirigido a usuarios de criptomonedas

TLDR

• DarkSword afecta a iOS 18.4–18.7, robando billeteras cripto y datos personales.

• El malware Ghostblade apunta a Coinbase, Binance, Ledger, MetaMask y más.

• El exploit se activa a través de sitios falsos; no se necesita acción del usuario para infectar dispositivos.

• El malware de etapa final se autoeliimina después de robar datos sensibles rápidamente.

• Actualiza a iOS 26.3 o habilita el Modo de Bloqueo para bloquear ataques de DarkSword.

Una nueva cadena de exploit de iOS llamada DarkSword está apuntando activamente a dispositivos que ejecutan iOS 18.4 hasta 18.7. El exploit aprovecha seis vulnerabilidades de día cero para instalar malware en dispositivos comprometidos. Múltiples actores están desplegando DarkSword contra usuarios en Arabia Saudita, Ucrania, Malasia y Turquía.

DarkSword entrega malware diseñado para robar datos sensibles, incluyendo credenciales de inicio de sesión, historial de llamadas e información de ubicación. Apunta específicamente a aplicaciones de criptomonedas y billeteras en dispositivos infectados. Los usuarios que visitan sitios web comprometidos pueden activar el exploit sin saberlo y sin ninguna interacción.

Investigadores de ciberseguridad han identificado varias familias de malware de etapa final desplegadas a través de DarkSword. Estas incluyen Ghostblade, Ghostknife y Ghostsaber, que extraen datos rápidamente y se autoeliminan después. Las campañas muestran la adopción de DarkSword tanto por proveedores comerciales de spyware como por actores de amenazas respaldados por estados.

Ghostblade Apunta a Exchanges de Cripto y Billeteras

Ghostblade, desplegado por DarkSword, busca activamente aplicaciones de intercambio de criptomonedas en dispositivos iOS. Apunta a plataformas importantes como Coinbase, Binance, Kraken, Kucoin, OKX y MEXC. El malware también busca billeteras populares incluyendo Ledger, Trezor, MetaMask, Exodus, Uniswap, Phantom y Gnosis Safe.

Además de activos cripto, Ghostblade recopila SMS, iMessage, historial de llamadas y contactos del dispositivo. También exfiltra credenciales de Wi-Fi, cookies de Safari, historial de navegación e información de ubicación. El malware accede a datos de salud, fotos e historial de mensajería de Telegram y WhatsApp.

Ghostblade opera para robo de datos a corto plazo, eliminando archivos temporales y terminándose a sí mismo después de la extracción. Este diseño de acción rápida asegura que queden rastros mínimos en el dispositivo infectado. La capacidad de DarkSword para entregar Ghostblade destaca el creciente enfoque en usuarios de cripto.

Despliegue Global y Mecánica del Exploit

DarkSword ha sido observado en campañas dirigidas utilizando sitios web falsos y portales gubernamentales comprometidos. En Arabia Saudita, se utilizó un sitio con tema de Snapchat para infectar dispositivos a través de DarkSword. La cadena de exploit crea iframes y obtiene módulos de ejecución remota de código para entregar el malware.

Diferentes exploits RCE en DarkSword apuntan a versiones específicas de iOS, incluyendo corrupción de memoria y vulnerabilidades de bypass PAC. La lógica del cargador a veces no logra diferenciar versiones de dispositivos, reflejando el despliegue rápido de la herramienta. A pesar de esto, DarkSword instala consistentemente cargas útiles de etapa final como Ghostknife y Ghostsaber.

Los investigadores reportaron las vulnerabilidades a Apple a finales de 2025, y los parches se incluyeron en iOS 26.3. Los dominios vinculados a la entrega de DarkSword ahora se agregan a las listas de Navegación Segura. Se insta a los usuarios a actualizar dispositivos iOS o habilitar el Modo de Bloqueo para mayor protección contra campañas de DarkSword.

DarkSword ha surgido como una amenaza significativa para usuarios de criptomonedas en dispositivos iOS. La rápida adopción del exploit por múltiples actores señala un riesgo creciente para los activos digitales. Su enfoque en exchanges, billeteras y datos personales subraya la necesidad de actualizaciones inmediatas de dispositivos.

La publicación DarkSword Exploit Hits iOS Devices Targeting Crypto Users apareció primero en CoinCentral.