Secondo la società di intelligence blockchain Nominis , nel febbraio 2026 i detentori privati di criptovalute hanno subito le perdite maggiori a causa di attacchi hacker, phishing e tentativi di furto digitale. Un nuovo ceppo di malware per iOS, recentemente identificato, potrebbe spiegare in parte perché i singoli utenti siano diventati il bersaglio preferito.
Progettato per colpire velocemente e scomparire
Google Threat Intelligence ha identificato uno strumento dannoso basato su JavaScript chiamato Ghostblade , creato specificamente per colpire i dispositivi Apple iOS, estrarre dati sensibili e sparire senza lasciare traccia.
Il software è uno dei sei strumenti inclusi in un pacchetto più ampio che i ricercatori chiamano DarkSword . Insieme, questi strumenti sono progettati per rubare chiavi private di criptovalute, dati di messaggistica e informazioni personali dai dispositivi infetti.
Ghostblade viene eseguito una sola volta, preleva ciò di cui ha bisogno e si arresta. Non svolge alcuna attività in background persistente. Non richiede software aggiuntivo per funzionare. Questa struttura lo rende molto più difficile da individuare rispetto ai malware che continuano a funzionare dopo l'infezione.
Lo strumento cancella le proprie tracce in un modo specifico. Al termine dell'operazione, elimina i registri degli arresti anomali dal dispositivo compromesso. Questi registri sono quelli che Apple raccoglie normalmente per identificare i problemi del software e segnalare attività sospette. Senza di essi, Apple non riceve alcun segnale di eventuali anomalie.
A cosa può effettivamente accedere Ghostblade
Ghostblade è in grado di intercettare una vasta gamma di informazioni da un dispositivo. Secondo quanto riportato da Google, il malware può accedere ai messaggi di iMessage, WhatsApp e Telegram.
Può inoltre raccogliere dettagli della scheda SIM, dati di geolocalizzazione, file multimediali e impostazioni a livello di sistema. Per gli utenti di criptovalute, la minaccia più diretta è l'esposizione della chiave privata, ovvero il tipo di accesso che conferisce a un malintenzionato il pieno controllo di un portafoglio digitale, senza possibilità di annullare le transazioni una volta che i fondi sono stati trasferiti.
La suite DarkSword rappresenta un nuovo capitolo negli attacchi basati su browser mirati al settore delle criptovalute , e Ghostblade si configura come uno dei suoi componenti tecnicamente più sofisticati.
Gli hacker spostano la loro attenzione dal codice alle persone
Secondo i dati di Nominis, le perdite totali dovute ad attacchi hacker nel settore delle criptovalute sono diminuite drasticamente a febbraio, scendendo a circa 50 milioni di dollari rispetto ai 385 milioni del mese precedente. Tuttavia, questo calo non indica un contesto più sicuro.
Secondo le segnalazioni, il calo riflette un cambiamento di metodo, non di ambizione. Gli aggressori si sono allontanati dallo sfruttamento delle vulnerabilità del codice per concentrarsi su schemi di phishing, avvelenamento dei portafogli digitali e altri approcci che si basano sull'inganno degli utenti piuttosto che sulla violazione dei sistemi.
I siti web falsi, creati per imitare piattaforme legittime, sono uno strumento comune. Gli utenti che vi accedono e interagiscono con qualsiasi elemento possono vedersi rubare credenziali e chiavi di accesso senza rendersene conto.
L'allarme Ghostblade di Google arriva in questo contesto, a ricordarci che gli utenti individuali di alto valore, e non solo gli exchange o i protocolli, sono saldamente nel mirino.
Immagine in evidenza da Unsplash, grafico da TradingView