Хакерський інструмент DarkSword зламує iPhone простим відвідуванням сайту

Google спільно з двома компаніями у сфері кібербезпеки попередили користувачів iPhone про нову вразливість, що дозволяє зловмисникам викрадати дані лише при відвідуванні сайту з пристрою на iOS.

Новий інструмент атак: DarkSword

Йдеться про набір інструментів під назвою DarkSword, який, за даними Google Threat Intelligence Group, а також компаній Lookout та iVerify, вже використовується в атаках по всьому світу. Експлойт задіяє відразу кілька вразливостей в iOS – в зоні ризику опинилися версії системи від 18.4 до 18.7. За інформацією Apple, близько чверті всіх iPhone продовжують працювати на різних версіях iOS 18.

Це означає, що потенційно сотні мільйонів пристроїв можуть бути вразливими для атак з використанням DarkSword. Головна особливість інструменту – відсутність необхідності встановлення на пристрій. Користувачеві достатньо відкрити заражений сайт. Після цього починається збір даних, включаючи особисту та фінансову інформацію.

Як працює атака і що викрадають

На відміну від класичних шпигунських програм DarkSword не призначений для тривалого спостереження. Як відзначають дослідники Lookout, після завершення збору даних інструмент видаляє всі створені файли та припиняє роботу. Весь процес може займати лічені хвилини.

За цей час зловмисники можуть отримати доступ до широкого спектру інформації: журналів дзвінків, контактів, календарів, нотаток, фотографій, скріншот, історії переміщень та браузера. Також під загрозою опиняються дані облікових записів, вміст iCloud, паролі Wi-Fi, інформація SIM-картки та налаштування «Знайти iPhone».

Крім того, атака зачіпає листування та дані з популярних сервісів: iMessage, електронної пошти, WhatsApp та Telegram. В окремих випадках можуть бути викрадені навіть ключі від криптогаманців. Після перезавантаження пристрою сліди присутності шкідливого коду практично зникають, що ускладнює виявлення атаки.

Географія атак і схеми

Дослідники наводять приклади конкретних інцидентів. Один із ранніх випадків був зафіксований у листопаді: користувачі із Саудівської Аравії переходили на сайт Snapshare, оформлений під сервіс Snapchat. Після цього відбувалося перенаправлення на цей сайт, а зараження відбувалося непомітно.

Для цього зловмисники зламували ресурси новин та державні сайти. Аналітики також пов’язують цю групу з іншим інструментом Coruna, виявленим раніше цього року. Він був націлений на пристрої з більш старими версіями iOS – від 13 до 17. Окрему увагу фахівці звертають на поведінку атакуючих: код DarkSword не приховується і залишається доступним, що спрощує його повторне використання іншими зловмисниками. Це може свідчити про впевненість у можливості швидко створювати нові аналогічні інструменти навіть після закриття поточних вразливостей.