กูเกิลเตือนภัย DarkSword ช่องโหว่ร้ายแรงบน iOS มุ่งเจาะกระเป๋าคริปโต

นักวิเคราะห์ความปลอดภัยของกูเกิลเปิดเผยห่วงโซ่ช่องโหว่อันตรายระดับสูงสุดบนระบบ iOS ที่ถูกตั้งชื่อว่า "DarkSword" ซึ่งออกแบบมาเพื่อเจาะอุปกรณ์แอปเปิลอย่างสมบูรณ์แบบ โดยมีโมดูลลับที่ชื่อ "Ghostblade" ทำหน้าที่ดูดข้อมูลกระเป๋าคริปโตและ seed phrase โดยตรง ผู้เชี่ยวชาญชี้ว่าเครื่องมือนี้เคยถูกจำกัดอยู่แค่ระดับรัฐบาล แต่ขณะนี้กระจายสู่มือกลุ่มอาชญากรรมวงกว้างแล้ว ถือเป็นสัญญาณอันตรายที่ผู้ถือสินทรัพย์ดิจิทัลต้องระวังอย่างมาก

ทีมนักวิเคราะห์จากกลุ่ม Threat Intelligence ของกูเกิลได้เปิดเผยการค้นพบสิ่งที่เรียกว่า "full-chain exploit" บนระบบปฏิบัติการ iOS ซึ่งถูกตั้งรหัสว่า DarkSword โดยชุดเครื่องมือดังกล่าวประกอบด้วยการรวมช่องโหว่หลายจุดเข้าด้วยกัน รวมถึงช่องโหว่ประเภท zero-day ที่ยังไม่เคยมีการแพตช์มาก่อน เพื่อเจาะทะลุกลไกความปลอดภัยของแอปเปิลและยึดครองอุปกรณ์ได้อย่างสมบูรณ์

กลไกการโจมตีเริ่มต้นจากเว็บไซต์อันตราย เพียงแค่ผู้ใช้เปิดหน้าเว็บดังกล่าว ห่วงโซ่ช่องโหว่จะถูกกระตุ้นโดยอัตโนมัติ โดยที่เหยื่อไม่รู้สึกถึงความผิดปกติใดๆ ทั้งสิ้น ผลลัพธ์ที่ตามมาคือผู้โจมตีสามารถเข้าถึงข้อความส่วนตัว ข้อมูลรับรองตัวตน และไฟล์ต่างๆ ได้ทันที นอกจากนั้นยังสามารถติดตามพิกัดตำแหน่ง ดึงข้อมูลจากแอปพลิเคชันทุกประเภทรวมถึงกระเป๋าคริปโต ตลอดจนรันโค้ดโดยควบคุมจากระยะไกลได้ด้วย

สิ่งที่ทำให้ DarkSword แตกต่างจากมัลแวร์ทั่วไปอย่างมีนัยสำคัญคือ มันไม่ใช่มัลแวร์ชิ้นเดียวที่มีรูปแบบตายตัว แต่เป็นกรอบโครงสร้าง (framework) ที่ยืดหยุ่น กลุ่มแฮกเกอร์แต่ละกลุ่มสามารถนำไปปรับแต่งและพัฒนาเวอร์ชันของตนเองได้ตามเป้าหมายที่ต้องการ ทำให้การตรวจจับและรับมือเป็นไปได้ยากยิ่งกว่าปกติ

หัวใจสำคัญของชุดเครื่องมือนี้คือโมดูลที่ชื่อ Ghostblade ซึ่งมีบทบาทหลักในการฝังตัวอยู่ในระบบภายหลังการเจาะสำเร็จ เพื่อรักษาการควบคุมอุปกรณ์ในระยะยาว โมดูลดังกล่าวจะสร้างการเชื่อมต่อกลับไปยังเซิร์ฟเวอร์ของผู้โจมตี แล้วทำการกรองและเก็บรวบรวมข้อมูลอย่างเป็นระบบ โดยเฉพาะข้อมูลบัญชีจากแอปพลิเคชันคริปโตและ seed phrase ซึ่งเป็นกุญแจหลักในการเข้าถึงสินทรัพย์ดิจิทัลทั้งหมด ยิ่งไปกว่านั้น Ghostblade ยังมีความสามารถในการหลบเลี่ยงการตรวจจับของระบบความปลอดภัย และสามารถดาวน์โหลดโมดูลเสริมเพื่อขยายขีดความสามารถในการโจมตีได้อีกด้วย

ขณะที่ผู้เชี่ยวชาญจาก CertiK ได้ออกคำแนะนำอย่างเร่งด่วนสำหรับผู้ใช้อุปกรณ์ iOS โดยขอให้อัปเดตระบบปฏิบัติการเป็นเวอร์ชัน 26.3 โดยเร็วที่สุด หากยังไม่สามารถอัปเดตได้ให้เปิดใช้งาน Lockdown Mode ซึ่งเป็นโหมดป้องกันพิเศษที่แอปเปิลพัฒนาขึ้นสำหรับภัยคุกคามระดับสูง นอกจากนั้นควรตรวจสอบรายการบัญชีในระบบและลบบัญชีที่ไม่รู้จักออกทันที รวมถึงควรเปลี่ยนไปใช้กระเป๋าฮาร์ดแวร์ (hardware wallet) และเลิกพฤติกรรมบันทึก seed phrase ไว้บนโทรศัพท์มือถือโดยเด็ดขาด

ในแง่ของผู้อยู่เบื้องหลัง นักวิจัยระบุว่า DarkSword ถูกนำไปใช้ทั้งโดยผู้ให้บริการสปายแวร์เชิงพาณิชย์และกลุ่มแฮกเกอร์ที่เชื่อกันว่ามีความเชื่อมโยงกับรัฐบาลบางประเทศ โดยมีการบันทึกการโจมตีในหลายประเทศ ทั้งยูเครน ตุรกี และรัฐต่างๆ ในตะวันออกกลาง สิ่งที่ผู้เชี่ยวชาญให้น้ำหนักมากเป็นพิเศษคือ การปรากฏตัวของ DarkSword สะท้อนให้เห็นแนวโน้มที่น่าวิตกอย่างยิ่ง กล่าวคือเครื่องมือแฮกระดับซับซ้อนที่แต่เดิมเคยเข้าถึงได้เฉพาะหน่วยงานรัฐกำลังกระจายตัวสู่กลุ่มผู้กระทำการในวงกว้างขึ้นอย่างต่อเนื่อง

ทั้งนี้ ก่อนหน้าในเดือนมีนาคม พ.ศ. 2568 ทีมความปลอดภัย Donjon ของ Ledger เคยค้นพบช่องโหว่ร้ายแรงในสมาร์ตโฟนแอนดรอยด์ที่ใช้โปรเซสเซอร์ MediaTek โดยช่องโหว่ดังกล่าวเปิดทางให้ขโมยคีย์กระเป๋าคริปโตได้ภายในเวลาเพียงไม่กี่นาที ซึ่งเมื่อนำมาพิจารณาร่วมกับการเปิดโปง DarkSword ครั้งนี้ ยิ่งตอกย้ำให้เห็นว่าภัยคุกคามต่อสินทรัพย์ดิจิทัลกำลังยกระดับความรุนแรงและความซับซ้อนขึ้นอย่างก้าวกระโดดในทุกแพลตฟอร์ม

website : mgronline.com
facebook : MGRonlineLive
twitter : @MGROnlineLive
instagram : mgronline
line : MGROnline
youtube : MGR Online VDO