Google แฉช่องโหว่ DarkSword บน iOS ดูดข้อมูลกระเป๋าคริปโตได้ในไม่กี่วินาทีแล้วลบตัวเองหายไป

ทีมวิเคราะห์ภัยคุกคามของ Google หรือ Google Threat Intelligence Group (GTIG) เปิดเผยรายงานเมื่อวันที่ 18 มีนาคม 2569 ว่าพบช่องโหว่ระดับอันตรายบนระบบ iOS ที่ถูกตั้งชื่อภายในว่า “DarkSword” โดยตามรายงานจาก Cointelegraph ระบุว่าช่องโหว่ดังกล่าวเปิดทางให้มัลแวร์ชื่อ GHOSTBLADE เข้าถึงและขโมยข้อมูลกระเป๋าคริปโตจากอุปกรณ์ที่ถูกโจมตีได้ งานวิจัยนี้ดำเนินการร่วมกับบริษัทความปลอดภัยไซเบอร์ Lookout Inc. และ iVerify Inc. โดย DarkSword ถูกพบว่าใช้งานมาตั้งแต่อย่างน้อยเดือนพฤศจิกายน 2568 กระทบ iOS เวอร์ชัน 18.4 ถึง 18.7

DarkSword คืออะไร และทำงานอย่างไร

DarkSword เป็นชุดช่องโหว่ที่ใช้จุดอ่อนถึง 6 รายการ รวมถึง Zero-Day 3 ตัว ได้แก่ CVE-2026-20700, CVE-2025-43529 และ CVE-2025-14174 เพื่อให้ผู้โจมตีสามารถรันโค้ดระยะไกล หลบหนี sandbox และยกระดับสิทธิ์การเข้าถึงได้ครบวงจร การโจมตีใช้วิธี “คลิกเดียว” กล่าวคือ ผู้ใช้เพียงแค่เข้าชมเว็บไซต์อันตรายก็เพียงพอให้ถูกโจมตีได้ทันที

เมื่อโจมตีสำเร็จ DarkSword จะติดตั้งมัลแวร์หนึ่งในสามตระกูล ได้แก่ GHOSTBLADE ซึ่งเป็นโปรแกรมดูดข้อมูลแบบ JavaScript ที่เก็บรวบรวมข้อมูลกระเป๋าคริปโต ประวัติการใช้เว็บ รหัสผ่าน WiFi เนื้อหา iCloud และข้อมูลส่วนตัวอื่นๆ อีกมากมาย นอกจากนี้ยังมี GHOSTKNIFE ซึ่งเป็น Backdoor ขโมยบัญชีที่ล็อกอินอยู่และข้อมูลการสื่อสาร และ GHOSTSABER ที่มีขีดความสามารถสูงสุด สามารถรันโค้ด JavaScript จากระยะไกลได้

สิ่งที่ทำให้ DarkSword อันตรายเป็นพิเศษคือการใช้กลยุทธ์ “ตีแล้วหนี” โดยมัลแวร์จะดูดข้อมูลออกไปภายในไม่กี่วินาทีถึงนาที จากนั้นลบไฟล์ตัวเองออกจากเครื่อง ทำให้หลังรีสตาร์ทอุปกรณ์แทบไม่มีร่องรอยให้ตรวจพบ

กลุ่มไหนใช้ DarkSword บ้าง และใครเสี่ยงที่สุด

รายงานของ GTIG ระบุว่ามีผู้ไม่หวังดีหลายกลุ่มนำ DarkSword ไปใช้งาน รวมถึงกลุ่มที่สันนิษฐานว่าเป็นหน่วยสืบราชการลับรัสเซียในชื่อ UNC6353 ซึ่งใช้โจมตีเว็บไซต์ยูเครนผ่านแคมเปญ Watering Hole เพื่อส่ง GHOSTBLADE เข้าอุปกรณ์ของผู้เข้าชม กลุ่ม UNC6748 ใช้เว็บปลอมธีม Snapchat เพื่อโจมตีผู้ใช้ในซาอุดีอาระเบีย และบริษัท PARS Defense ผู้ขายโปรแกรมสอดแนมของตุรกี ก็ใช้ DarkSword โจมตีผู้ใช้ iOS ในตุรกีและมาเลเซียด้วย

ขอบเขตความเสี่ยงอยู่ในระดับกว้างมาก เนื่องจากขณะที่มีการรายงานข่าวนี้ อุปกรณ์ iPhone ใกล้ร้อยละ 25 ทั่วโลกยังคงใช้ iOS เวอร์ชัน 18 อยู่ ซึ่งหมายความว่าอาจมีอุปกรณ์หลายร้อยล้านเครื่องที่ยังมีความเสี่ยง ข้อมูลที่อาจถูกขโมยครอบคลุมตั้งแต่ข้อมูลกระเป๋าคริปโต ไปจนถึงบันทึกการโทร รายชื่อผู้ติดต่อ รหัสผ่าน iCloud รวมถึงข้อมูลแชทบน iMessage, WhatsApp และ Telegram

วิธีป้องกันตัวเองจาก DarkSword

Apple ได้ออกแพตช์แก้ไขช่องโหว่ทั้งหมดแล้วใน iOS 26.3 และ iOS 18.7.3 ขึ้นไป นอกจากนี้ยังมีการออกอัปเดตฉุกเฉิน iOS 15.8.7 และ iOS 16.7.15 สำหรับอุปกรณ์รุ่นเก่าที่ไม่สามารถอัปเดตเป็นเวอร์ชันใหม่ได้ Google แนะนำให้ผู้ใช้อัปเดตอุปกรณ์เป็น iOS เวอร์ชันล่าสุดโดยด่วน และสำหรับผู้ที่ไม่สามารถอัปเดตได้ ให้เปิดใช้งาน Lockdown Mode ของ Apple เพื่อเพิ่มระดับการป้องกัน

ก่อนหน้านี้ Siam Blockchain ได้รายงานเรื่องความเสี่ยงด้านความปลอดภัยในโลกคริปโต เมื่อพบว่า โดเมนย่อยของ Coinbase Commerce มีการนำผู้ใช้ไปยังหน้าฟิชชิงที่ขอ Seed Phrase รวมถึงการแจ้งเตือนจาก FBI เกี่ยวกับโทเคนปลอมบนเครือข่าย Tron ที่ใช้ข่มขู่ผู้ใช้เพื่อล้วงข้อมูลส่วนตัว ซึ่งแสดงให้เห็นว่าการโจมตีผู้ถือครองคริปโตมีความซับซ้อนและหลากหลายรูปแบบมากขึ้นเรื่อยๆ

ส่วนตัวผู้เขียนมองว่าข่าวนี้น่ากังวลมากกว่าที่หลายคนคิด เพราะ DarkSword ไม่ใช่มัลแวร์ธรรมดา มันใช้ Zero-Day หลายตัวพร้อมกัน และที่น่ากลัวที่สุดคือมันเข้ามาแล้วหายไปโดยไม่ทิ้งร่องรอย คุณอาจโดนไปแล้วโดยไม่รู้ตัวเลย สิ่งที่ควรทำตอนนี้คืออัปเดต iOS ให้เป็นเวอร์ชันล่าสุดทันที และระวังการกดลิงก์แปลกๆ ในทุกกรณี โดยเฉพาะถ้าใช้กระเป๋าคริปโตบนมือถือ ควรพิจารณาใช้ Hardware Wallet สำหรับเก็บสินทรัพย์หลักด้วย ไม่ว่าระบบปฏิบัติการจะปลอดภัยแค่ไหน ก็ยังมีความเสี่ยงอยู่เสมอ

ภาพจาก AI