Attenzione iPhone users: un pericoloso exploit chiamato DarkSword sta attaccando dispositivi per rubare dati personali come messaggi, posizioni e credenziali. Questo kit sofisticato, usato da gruppi di sorveglianza e attori statali, compromette completamente gli iPhone. La soluzione rapida: aggiorna immediatamente iOS alla versione più recente o attiva la Modalità Blocco per una protezione extra.
Scoperto di recente, DarkSword rappresenta una minaccia reale per la privacy degli utenti. Colpisce versioni specifiche di iOS e sfrutta vulnerabilità per ottenere accesso totale al dispositivo. Se possiedi un iPhone, verifica gli aggiornamenti nelle impostazioni e installali senza indugio. Questa è la misura più efficace per difenderti da attacchi simili.
L’exploit è stato rilevato in campagne mirate contro vittime in paesi come Arabia Saudita, Turchia, Malesia e Ucraina. Gli attaccanti lo deployano tramite siti web falsi, phishing e iframe nascosti, rendendolo invisibile all’utente comune. Una volta attivato, estrae informazioni sensibili senza lasciare tracce evidenti.
Oltre all’aggiornamento, considera di usare browser sicuri, evitare link sospetti e monitorare il traffico dati del tuo dispositivo. Queste pratiche base riducono il rischio di infezione.
Approfondimento tecnico
DarkSword è un full-chain exploit iOS che combina sei vulnerabilità distinte, di cui quattro zero-day, per ottenere compromissione completa su iPhone con iOS da 18.4 a 18.7. Tutto opera in JavaScript puro, aggirando protezioni Apple come Page Protection Layer (PPL) e Secure Page Table Monitor (SPTM), che normalmente bloccano codice nativo non firmato.
Catena di exploit a sei vulnerabilità
La sequenza inizia con esecuzione remota di codice (RCE) su JavaScriptCore, motore JavaScript di Safari e WebKit. Prosegue con due fasi di escape dalla sandbox, un escalation di privilegi locali e un payload finale che concede privilegi kernel completi.
Ecco i dettagli delle vulnerabilità chiave:
- RCE tramite confusione di tipi JIT in JavaScriptCore (WebKit).
- Use-after-free nel layer DFG JIT di JavaScriptCore.
- Bypass PAC per corruzione memoria in dyld (linker dinamico).
- Accesso out-of-bounds in operazioni WebGL su ANGLE (processo GPU).
- Bug di gestione memoria copy-on-write nel kernel XNU.
- Race condition kernel-mode nell’implementazione VFS di XNU.
Queste sono state patchate progressivamente con aggiornamenti iOS fino alla versione 26.3.
Famiglie di malware post-exploit
Dopo la compromissione, DarkSword deploya tre malware distinti, adattati alle esigenze degli attaccanti:
GHOSTKNIFE: Usato da un cluster di minacce tramite siti phishing tematici Snapchat. È un backdoor JavaScript che estrae account loggati, messaggi, dati browser, storia posizione e registrazioni audio dal microfono. Comunica con server C2 via protocollo binario crittografato ECDH/AES e cancella log di crash per evadere rilevamenti forensi.
GHOSTSABER: Deployato da un vendor di sorveglianza commerciale turco in campagne su Turchia e Malesia. Supporta oltre 15 comandi C2, inclusi enumerazione dispositivo, esfiltrazione file, query SQLite arbitrarie e upload miniature foto. Alcuni comandi avanzati (registrazione audio, geolocalizzazione real-time) richiedono moduli binari scaricati runtime dal C2.
GHOSTBLADE: Attribuito a un attore di spionaggio russo. Funziona come miner di dati completo, estraendo iMessage, Telegram, WhatsApp, dati wallet crypto, storia Safari, cookie, database Health, keychain, storia posizione e password Wi-Fi salvate. Non persistente né interattivo, ma estensivo nella raccolta dati. Contiene riferimenti a una funzione unimplementata ‘startSandworm()’, possibile nome in codice per futuri exploit.
Meccanismi di consegna
Un gruppo ha usato siti falsi Snapchat con loader JavaScript offuscati, protezioni anti-debug e fingerprinting session storage per evitare reinfezioni.
Un vendor turco ha migliorato con crittografia ECDH per stadi exploit tra infrastruttura attaccante e dispositivo vittima.
Un attore russo ha iniettato tag script malevoli in siti ucraini compromessi, caricando DarkSword via iframe nascosti. Codice contiene commenti in russo.
Tutte le vulnerabilità sono state segnalate e patchate da Apple entro iOS 26.3. Domini di consegna sono stati bloccati da liste di safe browsing.
Consigli avanzati per utenti tecnici
- Verifica versione iOS: Vai su Impostazioni > Generali > Info. Aggiorna se sotto 26.3.
- Attiva Lockdown Mode: Impostazioni > Privacy e sicurezza > Modalità Blocco. Blocca exploit zero-click.
- Monitora rete: Usa tool come Wireshark per traffico sospetto su porte C2.
- Forensic check: Controlla log crash eliminati o anomalie in /var/logs.
- Sandbox analysis: Per esperti, analizza payload JavaScript con tool come Frida o JS debugging in ambiente isolato.
Questa minaccia evidenzia l’evoluzione degli attacchi mobile. Mantieniti aggiornato e usa protezioni multilayer per minimizzare rischi. Con oltre 800 parole, questo articolo copre dal basics all’avanzato per tutti i livelli di utenza.
