Google Threat Intelligence最近甩出一份重磅报告,直接点名一款名叫Ghostblade的恶意软件。这玩意儿专门盯上苹果iOS设备,属于DarkSword这个恶意工具家族的六个成员之一,目标就是偷加密货币私钥和各种用户敏感数据。
Ghostblade用纯JavaScript写成,加载速度快得离谱。一旦在受害设备上激活,它几秒钟就能把目标数据抓走,然后立刻把东西发到黑产服务器,整个过程干净利落。关键是,这货不像传统木马那样常驻后台,也不需要装任何插件,干完活就自动停止运行。检测难度直接拉满。
更阴的是,它还自带清理功能。会主动删除设备上生成的崩溃报告,这样苹果就收不到任何异常信号,很难第一时间发现问题。研究人员直言,这种设计让Ghostblade在iOS生态里特别难缠。
它能偷的东西可不少。iMessage里的聊天记录直接打包带走,Telegram和WhatsApp的消息也跑不掉。SIM卡信息、设备身份标识、多媒体文件、地理位置,甚至系统设置权限,全都能被它读取并外传。简单讲,只要你用iPhone打开了被植入恶意代码的网页,隐私就基本裸奔了。
DarkSword家族不是第一次露面,但Ghostblade这次被单独拎出来讲,说明它的威胁级别已经让谷歌安全团队坐不住了。报告里还配了张时间线图,清楚展示过去几年针对iOS的恶意软件是怎么一步步进化的,每次苹果打补丁,黑产就换新招。
同一时间,Nominis的月报也出来了。二月份加密货币黑客损失总额只有4900万美元,比一月份的3.85亿美元少了87%以上。为什么掉这么狠?因为攻击方式变了。以前靠代码漏洞硬刚,现在黑产大规模转向钓鱼、钱包投毒这类利用人性的手段。私钥被直接偷走的案例少了,更多是用户自己点进假网站,把钱拱手送人。
钓鱼网站现在做得贼像那么回事。域名只差一个字母或者加个连字符,普通人一眼根本分不清。用户一点进去,恶意脚本就自动运行,私钥、助记词、钱包密码全被抄走。Ghostblade这类浏览器端恶意代码,正好完美适配这种攻击链。
iOS用户尤其要当心。苹果生态封闭归封闭,但Safari浏览器照样能执行JavaScript,照样能被植入这类偷数据脚本。过去大家总觉得iPhone最安全,现在看来,安全感正在被一点点蚕食。
行情这边,BTC现报$70,054(24h -0.51%),ETH现报$2,131(24h -0.71%),整体市场还在低位震荡。资产缩水的时候,人最容易慌,慌了就容易上当。黑产现在盯准的就是这个心理空窗期。
谷歌这份报告等于给所有持币玩家敲了警钟。别再觉得iOS天然免疫恶意软件了。遇到来路不明的链接,先停一秒想想:这玩意儿会不会是Ghostblade的入口?多一秒犹豫,可能就保住几万、几十万刀。
安全从来不是靠厂商单方面努力就能解决的。用户自己多长个心眼,才是最后一道防线。