Ένα νέο κιτ εκμετάλλευσης για συσκευές Apple iOS με την κωδική ονομασία DarkSword εντοπίστηκε να χρησιμοποιείται από πολλαπλούς φορείς απειλών για την κλοπή ευαίσθητων δεδομένων τουλάχιστον από τον Νοέμβριο του 2025.
Σύμφωνα με αναφορές των Google Threat Intelligence Group iVerify και Lookout το DarkSword χρησιμοποιεί μια αλυσίδα έξι διαφορετικών τρωτών σημείων εκ των οποίων τα τρία ήταν άγνωστα στην Apple πριν την επίθεση.
Το συγκεκριμένο εργαλείο έχει χρησιμοποιηθεί σε εκστρατείες που στοχεύουν χρήστες στη Σαουδική Αραβία την Τουρκία τη Μαλαισία και την Ουκρανία ενώ συνδέεται με τη ρωσική ομάδα κατασκοπείας UNC6353. Η ανακάλυψη αυτή έρχεται μόλις έναν μήνα μετά τον εντοπισμό ενός παρόμοιου εργαλείου με το όνομα Coruna δείχνοντας μια ανησυχητική έξαρση στην εμπορία και χρήση τέτοιου είδους λογισμικού.
Ο τρόπος λειτουργίας και η στόχευση των επιθέσεων
Το DarkSword έχει σχεδιαστεί για να στοχεύει συσκευές που τρέχουν εκδόσεις από iOS 18.4 έως 18.7 και η ανάπτυξή του γίνεται μέσω μολυσμένων ιστοσελίδων που περιλαμβάνουν κακόβουλο κώδικα JavaScript. Η επίθεση ξεκινά όταν ένας χρήστης επισκέπτεται μια τέτοια σελίδα μέσω του Safari χωρίς να απαιτείται κάποια άλλη αλληλεπίδραση από την πλευρά του.
Το λογισμικό καταφέρνει να διαφύγει από το περιβάλλον ασφαλείας του προγράμματος περιήγησης και να αποκτήσει προνομιακή πρόσβαση στο σύστημα αρχείων της συσκευής. Αντίθετα με άλλα κατασκοπευτικά προγράμματα που επιδιώκουν μόνιμη παρουσία το DarkSword ακολουθεί μια τακτική «hit-and-run» συλλέγοντας και εξάγοντας δεδομένα μέσα σε λίγα λεπτά πριν προχωρήσει σε καθαρισμό των ιχνών του για να ελαχιστοποιήσει τον χρόνο εντοπισμού του.
Η έκταση της κλοπής δεδομένων και οι κίνδυνοι
Οι δυνατότητες του DarkSword είναι εξαιρετικά ευρείες καθώς μπορεί να αποσπάσει μηνύματα ηλεκτρονικού ταχυδρομείου αρχεία από το iCloud επαφές μηνύματα SMS καθώς και το ιστορικό περιήγησης. Ιδιαίτερη έμφαση δίνεται σε εφαρμογές κρυπτονομισμάτων γεγονός που υποδηλώνει οικονομικά κίνητρα πίσω από ορισμένους από τους δράστες. Επιπλέον το λογισμικό μπορεί να υποκλέψει φωτογραφίες κωδικούς πρόσβασης Wi-Fi ιστορικό κλήσεων και τοποθεσίας καθώς και συνομιλίες από δημοφιλείς εφαρμογές όπως το Telegram και το WhatsApp.
Η εξάπλωση αυτών των εργαλείων σε ηθοποιούς με περιορισμένους πόρους αναδεικνύει την ύπαρξη μιας ανεπτυγμένης δευτερογενούς αγοράς για κενά ασφαλείας που θέτει σε κίνδυνο εκατοντάδες εκατομμύρια συσκευές παγκοσμίως. Οι ειδικοί τονίζουν ότι οι πρόσφατες επιτυχίες των εισβολέων οφείλονται σε σημαντικά λάθη στην επιχειρησιακή ασφάλεια των δημιουργών του DarkSword που επέτρεψαν τελικά τον εντοπισμό του.
