O coaliție de cercetători în securitate a dezvăluit DarkSword, un lanț complet de exploatare iOS care poate compromite în tăcere iPhone-urile prin site-uri web infectate și poate fura o gamă largă de date personale — de la parole salvate și mesaje text până la portofele de criptomonede — înainte de a-și șterge propriile urme în câteva minute.
Cum funcționează DarkSword
Lookout Threat Labs, Google’s Threat Intelligence Group și firma de securitate mobilă iVerify au publicat în această săptămână rezultate coordonate privind lanțul de exploatare. DarkSword vizează iPhone-uri care rulează iOS versiunile 18.4 până la 18.7 și nu necesită nicio acțiune din partea utilizatorului, în afară de vizitarea unei pagini web compromise în Safari. Atacul exploatează șase vulnerabilități pentru a scăpa din mediul izolat al browserului, a escalada privilegiile la nivel de kernel și a injecta cod JavaScript malițios în serviciile principale iOS.
Odată ce un dispozitiv este compromis, DarkSword colectează rapid parolele salvate, fotografiile, bazele de date WhatsApp și Telegram, portofele de criptomonede din aplicații precum Coinbase și Binance, mesajele SMS, istoricul locațiilor și datele iCloud. Malware-ul își șterge apoi fișierele temporare și se închide — un design de tip „lovește și fugi” destinat să evite detectarea.
iVerify a estimat că până la 270 de milioane de utilizatori de iPhone ar putea fi susceptibili, în timp ce Lookout a declarat pentru CyberScoop că aproximativ 15% din toate dispozitivele iOS utilizate în prezent rulează versiuni vulnerabile.
Un actor de amenințare legat de Rusia
Cercetătorii au asociat DarkSword cu UNC6353, un actor de amenințare suspect a fi rus, legat anterior de lanțul de exploatare Coruna raportat la începutul acestui an. Google a observat că exploatarea a fost utilizată cel puțin din noiembrie 2025, cu ținte în Ucraina, Arabia Saudită, Turcia și Malaysia. Site-urile web compromise folosite pentru a distribui DarkSword erau domenii ucrainene în care atacatorii injectaseră cod malițios.
Lookout a remarcat semne că modele lingvistice mari au fost utilizate pentru a extinde părți din funcționalitatea malware-ului, deși platforma centrală este „extrem de sofisticată și pare a fi o platformă proiectată profesional care permite dezvoltarea rapidă de module”. Cercetătorii consideră că UNC6353 a achiziționat probabil instrumentele de exploatare, posibil de la entități conectate la brokerul rus de exploatări Operation Zero.
Patch-uri disponibile, urgența persistă
Apple a remediat deja vulnerabilitățile exploatate de DarkSword în cele mai recente versiuni iOS. Google a raportat problemele către Apple la sfârșitul anului 2025, iar toate au fost rezolvate în iOS 26.3. Lookout a îndemnat organizațiile să actualizeze la iOS 18.7.3 sau iOS 26.3 și să retragă dispozitivele nesuportate. Pentru utilizatorii cu hardware mai vechi care nu pot primi actualizări, se recomandă activarea modului Lockdown. Nu a fost confirmat dacă Apple va porta corecțiile și pe versiunile mai vechi de iOS, așa cum a procedat cu exploit-urile Coruna.
„Malware-ul mobil avansat a încetat să mai fie o unealtă folosită exclusiv de guverne pentru spionaj și se află acum în mâinile unor grupuri care urmăresc câștig financiar”, a declarat Justin Albrecht, director global pentru intelligence-ul amenințărilor mobile la Lookout.
Surse:
https://cloud.google.com/blog/topics/threat-intelligence/darksword-ios-exploit-chain
https://www.lookout.com/threat-intelligence/article/darksword