DarkSword: Nova Exploit Chain Hackeia Milhões de iPhones

Horário
darksword nova exploit chain hackeia milhoes iphones

Pesquisadores de segurança revelaram a existência do DarkSword, uma sofisticada cadeia de exploração (exploit chain) capaz de comprometer milhões de iPhones que utilizam versões específicas do sistema operacional iOS. A ameaça permite que invasores roubem dados sensíveis dos dispositivos simplesmente fazendo com que a vítima visite um site malicioso, sem a necessidade de qualquer interação adicional, como cliques ou instalações de aplicativos.

O que é o DarkSword e como ele funciona?

O DarkSword é um kit de ferramentas de hacking que explora seis vulnerabilidades diferentes no iOS e no navegador Safari para obter acesso total ao dispositivo. Este tipo de ataque, conhecido como watering hole, envolve a infecção de sites legítimos para atingir vítimas que os navegam.

Ataque “Drive-by” e Natureza Fileless

A característica mais preocupante do DarkSword é a sua capacidade de executar um ataque “drive-by”: o comprometimento ocorre no momento em que o iPhone vulnerável carrega a página infectada. Além disso, a ferramenta utiliza técnicas de malware fileless, o que significa que ela não instala um arquivo de malware tradicional no dispositivo.

Em vez disso, o DarkSword sequestra processos do sistema operacional para extrair dados em segundos ou minutos, executando uma abordagem de “hit-and-run”. Após a exfiltração dos dados, o malware se apaga, deixando poucos ou nenhuns vestígios, o que dificulta a detecção e a limpeza para as vítimas.

Veja também:

Quais iPhones estão em risco?

A vulnerabilidade afeta especificamente iPhones que rodam as versões do sistema operacional iOS 18.4 até a 18.7. Estima-se que centenas de milhões de dispositivos em todo o mundo ainda possam estar suscetíveis a este ataque devido à utilização dessas versões mais antigas do sistema operacional.

As vulnerabilidades exploradas incluem falhas no WebKit (o motor de renderização do Safari), no kernel do iOS e no componente Dynamic Link Editor (dyld). Algumas destas falhas já foram corrigidas pela Apple em atualizações subsequentes.

Dados Alvo e Atores por Trás do Ataque

Uma vez que o acesso é obtido, o DarkSword é programado para roubar uma vasta gama de informações sensíveis. O payload, que pode variar dependendo do atacante (como o malware Ghostblade observado em campanhas específicas), visa exfiltrar:

  • Mensagens SMS, iMessage, WhatsApp e Telegram.
  • Histórico de chamadas, contatos e dados de localização.
  • Senhas salvas, cookies e histórico de navegação do Safari.
  • Dados de saúde (Apple Health), notas e entradas de calendário.
  • Arquivos do iCloud Drive.
  • Informações de carteiras e exchanges de criptomoedas, como Coinbase, Binance, Ledger e MetaMask.

Pesquisas conjuntas realizadas pelo Google Threat Intelligence Group (GTIG), Lookout e iVerify indicam que o DarkSword tem sido utilizado por diversos grupos de atores de ameaça.

Observaram-se campanhas direcionadas a usuários na Ucrânia, atribuídas a um ator de ameaça ligado à Rússia (UNC6353), que também utilizou o exploit Coruna. Além disso, clientes da PARS Defense, uma fornecedora comercial turca de vigilância, usaram o DarkSword em ataques observados na Arábia Saudita, Turquia e Malásia.

Desdobramentos e Medidas de Proteção

A principal implicação do DarkSword é a mudança no cenário de segurança móvel: exploits de alto nível, antes restritos a agências estatais para espionagem altamente direcionada, estão agora acessíveis a um leque maior de atores através de um mercado secundário de exploits.

A boa notícia é que a Apple tem trabalhado ativamente para mitigar a ameaça. A maioria das vulnerabilidades exploradas pelo DarkSword já foi corrigida pela empresa através de atualizações de segurança lançadas entre meados de 2025 e fevereiro de 2026.

O que fazer agora?

Especialistas em cibersegurança recomendam ações imediatas para usuários de iPhone:

  1. Atualizar o Sistema Operacional: A medida mais crucial é garantir que o dispositivo esteja rodando a versão mais recente do iOS, pois as correções para as falhas do DarkSword já foram implementadas.
  2. Ativar o Modo Bloqueio (Lockdown Mode): Para usuários que não podem atualizar ou que se sentem alvos de ameaças sofisticadas, a Apple recomenda ativar o Lockdown Mode, uma proteção opcional e extrema.
  3. Vigilância: Como o ataque é do tipo “hit-and-run” e deixa poucos rastros, a detecção pode ser difícil. É fundamental manter a vigilância sobre a segurança do dispositivo.
Continue lendo...