Google Threat Intelligence đã phát hiện một phần mềm độc hại mới chuyên trộm tiền điện tử có tên “Ghostblade” nhắm vào các thiết bị Apple iOS. Được mô tả là một phần của gia đình DarkSword gồm các công cụ dựa trên trình duyệt, Ghostblade được thiết kế để rút trộm khóa riêng và các dữ liệu nhạy cảm khác trong một đợt nhanh chóng, kín đáo thay vì duy trì hoạt động liên tục trên thiết bị.
Viết bằng JavaScript, Ghostblade kích hoạt, thu thập dữ liệu từ thiết bị bị xâm nhập và gửi về các máy chủ độc hại trước khi tắt đi. Các nhà nghiên cứu nhận xét rằng thiết kế của phần mềm độc hại này khiến việc phát hiện trở nên khó khăn hơn, vì nó không yêu cầu plugin bổ sung và dừng hoạt động sau khi hoàn tất việc trích xuất dữ liệu. Nhóm Threat Intelligence của Google nhấn mạnh rằng Ghostblade còn thực hiện các bước để tránh bị phát hiện bằng cách xóa các báo cáo lỗi (crash reports) mà nếu không sẽ cảnh báo hệ thống telemetry của Apple.
Ngoài khóa riêng, phần mềm độc hại còn có khả năng truy cập và truyền dữ liệu tin nhắn từ iMessage, Telegram và WhatsApp. Nó cũng có thể thu thập thông tin về SIM, danh tính người dùng, các tệp đa phương tiện, dữ liệu định vị và truy cập vào các cài đặt hệ thống khác. Khung công tác DarkSword rộng hơn, trong đó Ghostblade thuộc về, được Google coi là một phần của các mối đe dọa đang phát triển, cho thấy cách các hacker liên tục tinh chỉnh bộ công cụ của họ để nhắm vào người dùng tiền điện tử.
Đối với những người theo dõi xu hướng đe dọa, Ghostblade nằm cùng với các thành phần khác của chuỗi khai thác iOS DarkSword do Google Threat Intelligence mô tả. Bộ công cụ này nằm trong bối cảnh rộng hơn của sự tiến hóa các mối đe dọa tiền điện tử, bao gồm các báo cáo về các bộ khai thác dựa trên iOS được sử dụng trong các chiến dịch lừa đảo qua crypto.
Các điểm chính
Ghostblade là mối đe dọa trộm tiền điện tử dựa trên JavaScript trên iOS, là một phần của hệ sinh thái DarkSword và được thiết kế để trích xuất dữ liệu nhanh chóng.
Phần mềm hoạt động trong thời gian ngắn và không liên tục, giảm khả năng chiếm giữ lâu dài trên thiết bị và làm phức tạp việc phát hiện.
Nó có thể truyền dữ liệu nhạy cảm từ iMessage, Telegram, WhatsApp, truy cập thông tin SIM, danh tính, đa phương tiện, định vị và cài đặt hệ thống, đồng thời xóa các báo cáo lỗi để tránh bị phát hiện.
Sự phát triển này phù hợp với xu hướng rộng hơn trong lĩnh vực đe dọa, chuyển từ các cuộc tấn công dựa trên mã nguồn sang các chiến thuật khai thác hành vi con người, không chỉ dựa vào lỗ hổng phần mềm.
Lỗ hổng crypto trong tháng 2 giảm mạnh xuống còn 49 triệu USD từ mức 385 triệu USD của tháng 1, cho thấy sự chuyển hướng từ các cuộc xâm nhập dựa trên mã sang các kỹ thuật lừa đảo qua phishing và làm nhiễu ví, theo Nominis.
Ghostblade và hệ sinh thái DarkSword: những gì đã biết
Các nhà nghiên cứu của Google mô tả Ghostblade như một thành phần của gia đình DarkSword — một bộ các công cụ phần mềm độc hại dựa trên trình duyệt nhằm tấn công người dùng tiền điện tử bằng cách trộm khóa riêng và dữ liệu liên quan. Trọng tâm của Ghostblade là JavaScript cho phép tương tác nhanh chóng với thiết bị trong khi vẫn nhẹ và tạm thời. Lựa chọn thiết kế này phù hợp với các mối đe dọa gần đây khác trên thiết bị, ưu tiên chu kỳ trích xuất dữ liệu nhanh hơn là nhiễm trùng kéo dài.
Trong thực tế, khả năng của phần mềm độc hại này vượt ra ngoài việc chỉ trộm khóa. Bằng cách truy cập các ứng dụng nhắn tin như iMessage, Telegram và WhatsApp, kẻ tấn công có thể chặn các cuộc trò chuyện, lấy cắp thông tin đăng nhập và các tệp đính kèm nhạy cảm. Việc truy cập thông tin SIM và định vị mở rộng phạm vi tấn công, tạo điều kiện cho các vụ trộm danh tính và lừa đảo toàn diện hơn. Đặc biệt, khả năng xóa báo cáo lỗi của phần mềm giúp che giấu hoạt động, làm phức tạp các phân tích sau nhiễm trùng cho cả nạn nhân và các nhà phòng thủ.
Là một phần của cuộc đua vũ trang trong lĩnh vực tình báo đe dọa trên thiết bị, Ghostblade nhấn mạnh cách các tác nhân độc hại liên tục tinh chỉnh chuỗi tấn công nhắm vào iOS, khai thác niềm tin vững chắc của người dùng vào thiết bị và các ứng dụng họ sử dụng hàng ngày cho giao tiếp và tài chính.
Từ các cuộc tấn công dựa trên mã nguồn đến khai thác hành vi con người
Bối cảnh tấn công crypto tháng 2 năm 2026 cho thấy sự chuyển dịch rõ rệt trong hành vi của hacker. Theo Nominis, tổng thiệt hại từ các vụ hack tiền điện tử trong tháng này giảm còn 49 triệu USD, so với 385 triệu USD của tháng 1. Công ty cho rằng sự sụt giảm này là do sự chuyển hướng từ các mối đe dọa dựa hoàn toàn vào mã nguồn sang các phương thức khai thác lỗi con người, như phishing, làm nhiễu ví và các kỹ thuật xã hội khác khiến người dùng vô tình tiết lộ khóa hoặc thông tin đăng nhập.
Phishing vẫn là chiến thuật trung tâm. Hacker tạo ra các trang web giả mạo giống như các nền tảng hợp pháp, thường dùng URL bắt chước để dụ người dùng nhập khóa riêng, cụm seed hoặc mật khẩu ví. Khi người dùng tương tác với các giao diện giả mạo này — đăng nhập, phê duyệt giao dịch hoặc dán dữ liệu nhạy cảm — hacker có thể truy cập trực tiếp vào quỹ và thông tin đăng nhập. Sự chuyển hướng này sang khai thác hành vi con người đặt ra yêu cầu các sàn giao dịch, ví và người dùng phải nâng cao cảnh giác, kết hợp giáo dục người dùng với các biện pháp kỹ thuật.
Dữ liệu tháng 2 phù hợp với câu chuyện chung của ngành: trong khi các lỗ hổng dựa trên mã và zero-day vẫn tiếp tục phát triển, phần lớn rủi ro đối với tài sản tiền điện tử đến từ các khai thác xã hội, khai thác hành vi con người đã quen thuộc — niềm tin, khẩn cấp và thói quen sử dụng các giao diện quen thuộc. Các nhà quan sát ngành nhận định rằng, ngoài việc vá các lỗ hổng phần mềm, cần củng cố yếu tố con người trong an ninh bằng giáo dục, xác thực mạnh mẽ hơn và trải nghiệm onboarding an toàn hơn cho người dùng ví.
Ảnh hưởng đối với người dùng, ví và nhà phát triển
Sự xuất hiện của Ghostblade — cùng với xu hướng tấn công tập trung vào yếu tố con người — đưa ra một số điểm thực tiễn quan trọng. Thứ nhất, vệ sinh thiết bị vẫn là yếu tố then chốt. Cập nhật iOS thường xuyên, áp dụng các biện pháp bảo mật cho ứng dụng và trình duyệt, sử dụng ví phần cứng hoặc enclave an toàn cho khóa riêng có thể nâng cao khả năng phòng thủ trước các cuộc tấn công trích xuất nhanh.
Thứ hai, người dùng cần thận trọng hơn khi tương tác với các ứng dụng nhắn tin và các giao diện web. Sự kết hợp giữa truy cập dữ liệu trên thiết bị và lừa đảo kiểu phishing có thể biến các hành động tưởng chừng vô hại — mở liên kết, phê duyệt quyền, dán seed phrase — thành cổng dẫn đến mất cắp. Các biện pháp xác thực đa yếu tố, ứng dụng xác thực và bảo vệ sinh trắc học có thể giảm thiểu rủi ro, nhưng giáo dục và thái độ hoài nghi với các yêu cầu bất ngờ cũng rất quan trọng.
Đối với các nhà xây dựng hệ sinh thái, trường hợp Ghostblade nhấn mạnh tầm quan trọng của kiểm soát chống lừa đảo, quy trình quản lý khóa an toàn và cảnh báo rõ ràng cho người dùng về các thao tác nhạy cảm. Đồng thời, việc chia sẻ liên tục thông tin về các mối đe dọa — đặc biệt là các mối đe dọa trên thiết bị kết hợp các công cụ dựa trên trình duyệt với các tính năng của hệ điều hành di động — là điều thiết yếu. Hợp tác liên ngành vẫn là yếu tố then chốt để phát hiện các chuỗi khai thác mới trước khi chúng trở nên phổ biến.
Những điều cần theo dõi tiếp theo
Khi Google Threat Intelligence và các nhà nghiên cứu khác tiếp tục theo dõi hoạt động liên quan đến DarkSword, các nhà quan sát nên chú ý đến các cập nhật về chuỗi khai thác iOS và sự xuất hiện của các phần mềm độc hại tương tự, có khả năng hoạt động trong thời gian ngắn và tinh vi. Sự chuyển hướng tháng 2 sang các lỗ hổng liên quan đến yếu tố con người cho thấy tương lai trong đó các nhà phòng thủ cần tăng cường cả các biện pháp kỹ thuật lẫn giáo dục người dùng để giảm thiểu rủi ro từ các chiến thuật lừa đảo và làm nhiễu ví. Đối với độc giả, các mốc quan trọng tiếp theo bao gồm các cảnh báo chính thức về mối đe dọa crypto trên iOS, các phát hiện mới từ các nhà cung cấp an ninh và cách các nền tảng lớn điều chỉnh các biện pháp chống lừa đảo, phòng chống gian lận để đối phó với các chiến thuật ngày càng tinh vi này.
Trong khi đó, việc theo dõi sát sao các báo cáo về các mối đe dọa và các phân tích liên tục từ Google Threat Intelligence, Nominis cùng các nhà nghiên cứu bảo mật blockchain khác sẽ rất cần thiết để đánh giá rủi ro và hoàn thiện các biện pháp phòng thủ chống tội phạm mạng nhắm vào tiền điện tử.
Bài viết này ban đầu được đăng tải với tiêu đề Google Threat Intel Flags Ghostblade as Crypto-Stealing Malware trên Crypto Breaking News — nguồn tin đáng tin cậy của bạn về tin tức crypto, Bitcoin và cập nhật blockchain.
