Хакерский инструмент DarkSword взламывает iPhone простым посещением сайта

Google совместно с двумя компаниями в сфере кибербезопасности предупредили пользователей iPhone о новой уязвимости, позволяющей злоумышленникам похищать данные всего лишь при посещении сайта с устройства на iOS.

Новый инструмент атак: DarkSword

Речь идет о наборе инструментов под названием DarkSword, который, по данным Google Threat Intelligence Group, а также компаний Lookout и iVerify, уже используется в атаках по всему миру. Эксплойт задействует сразу несколько уязвимостей в iOS — в зоне риска оказались версии системы от 18.4 до 18.7.По информации Apple, около четверти всех iPhone продолжают работать на различных версиях iOS 18.

Это означает, что потенциально сотни миллионов устройств могут быть уязвимы для атак с использованием DarkSword.Главная особенность инструмента — отсутствие необходимости установки на устройство. Пользователю достаточно открыть заражённый сайт. После этого начинается сбор данных, включая личную и финансовую информацию.

Как работает атака и что похищают

В отличие от классических шпионских программ, DarkSword не предназначен для длительного наблюдения. Как отмечают исследователи Lookout, после завершения сбора данных инструмент удаляет все созданные файлы и прекращает работу. Весь процесс может занимать считаные минуты.

За это время злоумышленники могут получить доступ к широкому спектру информации: журналам звонков, контактам, календарям, заметкам, фотографиям, скриншотам, истории перемещений и браузера. Также под угрозой оказываются данные учётных записей, содержимое iCloud, пароли Wi-Fi, информация SIM-карты и настройки «Найти iPhone».

Кроме того, атака затрагивает переписку и данные из популярных сервисов: iMessage, электронной почты, WhatsApp и Telegram. В отдельных случаях могут быть похищены даже ключи от криптокошельков.После перезагрузки устройства следы присутствия вредоносного кода практически исчезают, что усложняет обнаружение атаки.

География атак и используемые схемы

Исследователи приводят примеры конкретных инцидентов. Один из ранних случаев был зафиксирован в ноябре: пользователи из Саудовской Аравии переходили на сайт Snapshare, оформленный под сервис Snapchat. После этого происходило перенаправление на настоящий сайт, а заражение происходило незаметно.

Для этого злоумышленники взламывали новостные ресурсы и государственные сайты. Аналитики также связывают эту группу с другим инструментом — Coruna, обнаруженным ранее в этом году. Он был нацелен на устройства с более старыми версиями iOS — от 13 до 17.Отдельное внимание специалисты обращают на поведение атакующих: код DarkSword не скрывается и остаётся доступным, что упрощает его повторное использование другими злоумышленниками. Это может указывать на уверенность в возможности быстро создавать новые аналогичные инструменты даже после закрытия текущих уязвимостей.