Google phát hiện chuỗi exploit DarkSword để xâm nhập iPhone - ForkLog: tiền điện tử, AI, kỳ dị công nghệ, tương lai

# Google phát hiện chuỗi khai thác DarkSword để tấn công iPhone

Các chuyên gia của Google đã phát hiện ra một chuỗi khai thác phức tạp dành cho iOS có tên là DarkSword. Công cụ Ghostblade trong cấu trúc của nó nhằm mục đích đánh cắp thông tin bí mật, bao gồm dữ liệu ví tiền điện tử.

#CertiKInsight 🚨

Threat Intelligence của Google đã tiết lộ “DarkSword” — một chuỗi khai thác iOS sử dụng 6 lỗ hổng để âm thầm xâm nhập iPhone.

Các cụm từ seed và thông tin đăng nhập ví của bạn là mục tiêu.

🧵 Dưới đây là những điều bạn cần biết 👇

— CertiK Alert (@CertiKAlert) ngày 20 tháng 3 năm 2026

Những gì đã xảy ra

Các chuyên gia của nhóm Threat Intelligence của Google đã phát hiện ra một khai thác chuỗi đầy đủ, kết hợp nhiều lỗ hổng trong hệ điều hành iOS, cho phép xâm phạm hoàn toàn thiết bị của Apple. Gói phần mềm này đã bị nhiều nhóm hacker và nhà cung cấp phần mềm gián điệp thương mại sử dụng.

Các cuộc tấn công được thực hiện qua các trang web độc hại: khi người dùng truy cập, một chuỗi khai thác sẽ được kích hoạt trên thiết bị, cung cấp quyền truy cập dữ liệu của người dùng mà không có sự cho phép.

Lược đồ tiến hóa của DarkSword và các bản vá lỗ hổng trong iOS. Nguồn: Nhóm Threat Intelligence của Google.## Cách hoạt động của cuộc tấn công

DarkSword sử dụng nhiều lỗ hổng, bao gồm cả zero-day, để vượt qua các cơ chế bảo vệ của iOS và lấy quyền truy cập nâng cao trong hệ thống.

Sau khi xâm nhập thành công, kẻ tấn công có thể:

• truy cập vào tin nhắn, dữ liệu đăng nhập và tệp tin;
• theo dõi vị trí;
• trích xuất dữ liệu từ các ứng dụng, bao gồm ví tiền điện tử;
• thực thi mã từ xa trên thiết bị.

Khung framework này không phải là phần mềm độc hại duy nhất — các nhóm khác nhau đã sử dụng các phiên bản tùy chỉnh của riêng họ, điều chỉnh công cụ phù hợp với mục tiêu cụ thể.

Mối đe dọa đối với tài sản crypto của người dùng

Một trong những thành phần chính của gói này là Ghostblade. Nhiệm vụ chính của module này là cố định trong hệ thống sau khi xâm nhập và đảm bảo kiểm soát hoàn toàn thiết bị.

Chính công cụ này thiết lập liên lạc với máy chủ của kẻ tấn công và thực hiện việc lọc và thu thập thông tin, bao gồm dữ liệu từ các tài khoản ứng dụng crypto và seed phrase.

Ghostblade thực hiện các hành động gây khó khăn cho việc phát hiện bằng các phương tiện bảo mật, đồng thời có thể tải xuống và chạy các module bổ sung, mở rộng chức năng của cuộc tấn công.

Các chuyên gia của CertiK khuyến nghị người dùng các thiết bị iOS để đảm bảo an toàn cho tài sản của mình:

• cập nhật hệ điều hành lên phiên bản 26.3;
• bật chế độ khóa nếu không thể nâng cấp;
• kiểm tra các đăng nhập vào tài khoản và xóa tất cả những tài khoản không rõ;
• sử dụng ví phần cứng và tuyệt đối không lưu seed phrase trên điện thoại.

Ai đứng sau các cuộc tấn công

Theo các nhà nghiên cứu, DarkSword được sử dụng bởi cả các nhà cung cấp phần mềm gián điệp thương mại và các nhóm hacker có liên quan đến chính phủ.

Các cuộc tấn công đã được ghi nhận tại nhiều quốc gia, bao gồm Ukraine, Thổ Nhĩ Kỳ và các quốc gia Trung Đông.

Các chuyên gia nhận định rằng sự xuất hiện của DarkSword phản ánh xu hướng mới: các công cụ tấn công phức tạp, trước đây chỉ dành cho các tổ chức nhà nước, bắt đầu lan rộng ra nhiều nhóm người dùng hơn.

Nhắc lại, vào tháng 3, nhóm an ninh của Ledger (Donjon) đã phát hiện ra một lỗ hổng nghiêm trọng trên điện thoại Android sử dụng chip MediaTek. Lỗ hổng này cho phép lấy cắp khóa ví crypto trong vòng vài phút.