Изследователи по киберсигурност разкриха DarkSword: сложна експлойт верига, която може да зарази уязвими iPhone устройства само при посещение на компрометирана уеб страница. Техниката е открита от Google, iVerify и Lookout, които потвърждават, че инструментът вече е използван в активни кампании по света. Уязвими са устройства с iOS 18.4 до 18.7, което според изчисленията представлява около 270 милиона телефона.
Как действа DarkSword
DarkSword използва така наречения „drive‑by механизъм“. Потребителят не трябва да инсталира нищо, достатъчно е да отвори заразена страница. След зареждане на зловреден iframe в Safari експлойтът излиза от WebContent sandbox-а, използва WebGPU, инжектира се в системния процес mediaplaybackd и получава достъп до ядрото. Оттам премахва ограниченията на sandbox-а и достига до защитени части от файловата система.
След ескалацията на привилегиите се стартира централен скрипт, който управлява множество модули за събиране на данни. Информацията се съхранява временно на устройството, след което се изпраща към сървъри на атакуващите. След рестарт следите от инфекцията изчезват, но вече извлечените данни остават в ръцете на нападателите.
Каква информация се краде
Според Lookout и iVerify DarkSword извлича широк набор от чувствителни данни, от пароли, криптографски ключове и Wi‑Fi данни до снимки, текстови съобщения, разговори, локационна история, бележки, календар, Apple Health информация и логове от приложения като iMessage, WhatsApp и Telegram. Инструментът търси и крипто портфейли, което подсказва, че може да се използва и за финансови атаки.
Къде е открит и кой стои зад него
Експлойтът е намерен в множество компрометирани сайтове, включително украински новинарски портали и страница на държавна институция. В други случаи атаките са насочени към потребители в Саудитска Арабия чрез фалшив сайт, имитиращ Snapchat. Кампаниите са активни поне от ноември 2025 г. и засягат потребители в Украйна, Китай, Саудитска Арабия, Турция и Малайзия.
Някои инфраструктурни елементи са свързани с групи като UNC6748 и UNC6353, а други, с клиенти на турската компания PARS Defense. В една от кампаниите атакуващите оставят целия код на DarkSword на компрометирани сайтове, включително коментари, което прави експлойта лесен за копиране.
Връзката с Coruna и ролята на брокерите на експлойти
DarkSword се появява само две седмици след разкриването на Coruna – друг мощен инструмент за атака срещу iOS. Coruna е свързана с Trenchant, подразделение на L3Harris, а бивш служител на компанията е признал, че е продавал инструменти на руския брокер Operation Zero. Няма доказателства, че DarkSword е разработен от същата компания, но фактът, че същите руски актьори имат достъп и до двата инструмента, подсказва, че DarkSword вероятно е придобит чрез брокер на експлойти.
Реакцията на Apple
Apple подчертава, че всички уязвимости, използвани от DarkSword и Coruna, вече са запушени. Пачове са издадени до iOS 26.3, а през март 2026 г. са пуснати актуализации и за iOS 15 и iOS 16. Потребителите с iOS 13 и 14 трябва да преминат към iOS 15, за да получат защита. Компанията препоръчва редовно обновяване на софтуера и активиране на Lockdown Mode при високорискови профили.
Google добавя свързаните домейни към Safe Browsing, а приложенията на iVerify и Lookout могат да засичат следи от DarkSword в наблюдаваната форма.
Новата реалност: експлойти за iPhone вече достигат до криминални групи
Експертите предупреждават, че инструментите за атака срещу iOS вече не са ограничени до държавни служби и целенасочени операции. Появява се пазар, в който брокери продават експлойти на криминални групи, които ги използват за финансови и шпионски цели. Това променя рисковия профил за обикновените потребители, атаки, които някога са били насочени към журналисти и активисти, днес могат да засегнат всеки.
