Si chiama DarkSword ed è la nuova minaccia informatica che prende di mira gli iPhone, sfruttando vulnerabilità di sistema per sottrarre dati sensibili in pochi secondi. Scoperto dai ricercatori di Lookout Threat Labs, questo attacco è attribuito a un hacker di probabile origine russa, identificato da Google come UNC6353, già noto per la precedente catena di exploit Coruna. Il bersaglio principale resta quello degli utenti ucraini, con un’operazione che combina tecniche avanzate e finalità economiche.
Un attacco mirato e più “economico” rispetto al passato
DarkSword rappresenta un’evoluzione significativa nel panorama delle minacce informatiche su iOS. A differenza di attacchi simili, spesso associati ad attività di spionaggio e sostenuti da risorse statali, questa nuova campagna sembra puntare soprattutto al profitto attraverso l’estorsione.
Secondo gli esperti, si tratta di una tipologia di exploit meno costosa da sviluppare e distribuire, ma comunque estremamente efficace. Questo cambiamento segna un passaggio importante: strumenti prima riservati a governi o grandi organizzazioni stanno diventando accessibili anche a gruppi meno sofisticati, ma ben finanziati.
Le versioni di iOS vulnerabili sono comprese tra iOS 18.4 e 18.6.2. I dispositivi aggiornati a versioni successive risultano invece già protetti. Gli attacchi sono stati rilevati su utenti che visitano siti ucraini compromessi, tra cui portali informativi e istituzionali, utilizzati come veicolo per distribuire il malware.
Come funziona DarkSword: attacco rapido e invisibile
L’attacco si attiva semplicemente visitando un sito web infetto tramite Safari. Qui entra in gioco un iframe malevolo, caricato automaticamente, che avvia la catena di exploit senza alcuna interazione da parte dell’utente.
Il processo è estremamente sofisticato:
- il malware riesce a uscire dalla sandbox di WebContent;
- sfrutta componenti come WebGPU per ottenere accesso avanzato;
- raggiunge il kernel del sistema operativo;
- accede alle aree protette del filesystem.
Una volta ottenuti i privilegi, DarkSword carica diversi moduli progettati per raccogliere informazioni sensibili. Tra i dati sottratti figurano:
- credenziali di accesso,
- email,
- dati di portafogli di criptovalute,
- foto e messaggi,
- cronologia delle posizioni,
- dati sanitari.
Il tutto viene poi inviato a server esterni attraverso un payload finale. L’aspetto più insidioso è la velocità: l’intero attacco dura pochi secondi o al massimo qualche minuto, dopodiché il malware cancella ogni traccia dal dispositivo.
Un malware più potente e difficile da individuare
Secondo Lookout, DarkSword è “molto più potente e subdolo” rispetto ai malware tradizionali. Non richiede l’installazione di app né tecniche di ingegneria sociale: si basa su attacchi di tipo watering hole, che sfruttano siti web legittimi compromessi.
Questo significa che la vittima potrebbe visitare un sito abituale senza sospettare nulla, attivando inconsapevolmente l’infezione. Inoltre, si tratta di un attacco zero-click, che non richiede alcuna azione da parte dell’utente.
Gli esperti sottolineano che exploit di questo tipo potrebbero potenzialmente colpire centinaia di milioni di dispositivi iOS, rendendo DarkSword una delle minacce più rilevanti nel panorama mobile attuale.
Le analisi indicano inoltre che il gruppo UNC6353, pur non essendo tra i più sofisticati dal punto di vista tecnico, dispone di ampie risorse e una rete strutturata, con obiettivi che spaziano dal guadagno economico allo spionaggio, in linea con interessi legati all’intelligence russa.
