Lỗ hổng iOS DarkSword đe dọa 221 triệu iPhone có nguy cơ bị đánh cắp tiền điện tử

Edgen Crypto·Mar 20 2026, 16:12

Chia sẻ đến

Chia sẻ đến

Sao chép liên kết

Tóm tắt chính

Một chuỗi khai thác iOS mới được phát hiện, "DarkSword," đang được các tác nhân do nhà nước bảo trợ và các nhà cung cấp thương mại sử dụng để đánh cắp dữ liệu nhạy cảm, đặc biệt tập trung vào ví và sàn giao dịch tiền điện tử. Lỗ hổng này ảnh hưởng đến hàng triệu iPhone chưa được vá chạy các phiên bản iOS 18 cụ thể, làm nổi bật các rủi ro bảo mật đáng kể cho các nhà đầu tư quản lý tài sản kỹ thuật số trên thiết bị di động.

Một chuỗi khai thác mới có tên 'DarkSword' nhắm mục tiêu vào các phiên bản iOS 18.4 đến 18.7, có khả năng ảnh hưởng đến hơn 221 triệu thiết bị.
Phần mềm độc hại này đặc biệt tìm kiếm dữ liệu từ các ví và sàn giao dịch tiền điện tử lớn, bao gồm MetaMask, Ledger, Coinbase và Binance.
Lỗ hổng này đã được triển khai ít nhất từ tháng 11 năm 2025 bởi nhiều tác nhân đe dọa khác nhau, báo hiệu một thị trường thương mại đang phát triển cho các công cụ tấn công di động tinh vi.

Lỗ hổng DarkSword đặt 221 triệu iPhone vào tình trạng rủi ro

Nhóm Tình báo Đe dọa của Google, cùng với các công ty bảo mật iVerify và Lookout, đã xác định một bộ công cụ khai thác iOS tinh vi có tên 'DarkSword' đã hoạt động ít nhất từ tháng 11 năm 2025. Chuỗi khai thác này tận dụng sáu lỗ hổng khác nhau—bao gồm ba lỗ hổng zero-day chưa từng được biết đến trước đây—để cấp quyền kiểm soát hoàn toàn thiết bị cho kẻ tấn công. Nó nhắm mục tiêu vào một loạt các thiết bị Apple cụ thể chạy iOS phiên bản 18.4 đến 18.7. Các nhà phân tích bảo mật ước tính rằng lỗ hổng này khiến tới 221,5 triệu thiết bị, tương đương 14,2% tổng số người dùng iPhone, đối mặt với nguy cơ đánh cắp dữ liệu.

Ví và sàn giao dịch tiền điện tử trở thành mục tiêu chính

Pha tải trọng chính được DarkSword gửi đi là một biến thể phần mềm độc hại có tên 'GHOSTBLADE', được thiết kế rõ ràng để trích xuất dữ liệu tài chính. Phần mềm độc hại này tìm kiếm và đánh cắp thông tin một cách có hệ thống từ một loạt các ứng dụng tiền điện tử phổ biến. Các sàn giao dịch bị nhắm mục tiêu bao gồm Coinbase, Binance, Kraken và OKX, trong khi các ví như MetaMask, Ledger, Trezor và Phantom cũng nằm trong danh sách. Cuộc tấn công hoạt động theo kiểu 'đánh và chạy' nhanh chóng, đánh cắp thông tin xác thực và các thông tin nhạy cảm khác trong vòng vài phút sau khi lây nhiễm trước khi xóa dấu vết của chính nó. Hành vi này chỉ ra một động cơ tài chính rõ ràng, ưu tiên đánh cắp tài sản nhanh chóng hơn là giám sát dài hạn.

Sự gia tăng khai thác đặt ra thách thức cho bảo mật di động

DarkSword là bộ công cụ khai thác hàng loạt thứ hai cho iOS được phát hiện trong một tháng, sau bộ công cụ 'Coruna'. Việc nó được sử dụng bởi các nhóm đa dạng—từ tác nhân bị nghi ngờ do nhà nước Nga bảo trợ UNC6353 trong các cuộc tấn công chống lại Ukraine đến các nhà cung cấp giám sát thương mại nhắm mục tiêu người dùng ở Ả Rập Saudi và Thổ Nhĩ Kỳ—cho thấy sự phổ biến đáng lo ngại của các vũ khí mạng cao cấp. Sự sẵn có của các công cụ này trên thị trường thứ cấp làm giảm rào cản cho các nhóm có nguồn lực tốt nhưng kém tinh vi về mặt kỹ thuật để thực hiện các cuộc tấn công phức tạp. Xu hướng này đặt ra rủi ro hệ thống cho hệ sinh thái di động, buộc các nhà đầu tư phải xem xét lại tính bảo mật của việc quản lý tài sản thông qua các nền tảng ưu tiên di động.