Una squadra di ricercatori di sicurezza ha ricostruito una complessa catena di attacco che prende di mira dispositivi Apple con iOS. Il gruppo di analisi comprende esperti di Google, iVerify e Lookout, che hanno denominato l’insieme di exploit DarkSword. Questa campagna sfrutta un insieme coordinato di sei vulnerabilità di tipo zero-day per compromettere iPhone visitati tramite il browser Safari.
Il meccanismo d’attacco parte da siti web compromessi e mira a consegnare payload multipli sul dispositivo della vittima. I dettagli raccolti mostrano come gruppi di threat actor abbiano usato la catena per scopi di spionaggio, con obiettivi geograficamente distinti e strumenti diversificati. Nei paragrafi che seguono spieghiamo come funziona DarkSword, quali malware sono stati rilevati e quali contromisure applicare.
Cosa è DarkSword e come opera
DarkSword è una catena di exploit che combina sei punti deboli in versioni di iOS classificate tra 18.4 e 18.7. L’infezione tipica avviene quando una vittima visita una pagina preparata ad hoc con Safari, sfruttando la tecnica nota come watering hole, ovvero l’infezione attraverso siti frequentati dal bersaglio. In alcuni casi gli operatori responsabili sono stati collegati al gruppo russo UNC6353, già noto per l’uso del toolkit Coruna contro utenti in Ucraina, mentre un altro cluster identificato come UNC6748 ha preso di mira persone in Arabia Saudita.
Le sei vulnerabilità e le versioni colpite
Le falle sfruttate da DarkSword interessano componenti del sistema operativo e librerie associate al rendering web.
Apple ha distribuito le correzioni in modo progressivo, iniziando le patch a partire da iOS 18.6. Per massimizzare la difesa gli utenti sono invitati ad aggiornare alla versione più recente del sistema operativo disponibile, indicata come iOS 26.3.1, mentre per i modelli più datati la release consigliata è iOS 18.7.6. È cruciale applicare questi aggiornamenti perché zero-day come quelli sfruttati non necessitano di interazione complessa per essere eseguiti.
Le famiglie di malware individuate
I ricercatori hanno isolato tre famiglie di malware consegnate tramite la catena DarkSword, ciascuna con funzioni distinte ma complementari. La prima, chiamata GHOSTBLADE, combina funzioni di infostealer e spyware, consentendo l’estrazione di dati dalle app di messaggistica, dai wallet di criptovalute, e la raccolta di informazioni sul dispositivo come account, app installate, operatore telefonico, cronologia e cookie.
Può inoltre acquisire foto, screenshot e localizzazione.
GHOSTKNIFE e GHOSTSABER: backdoor e raccolta dati
La seconda famiglia, GHOSTKNIFE, è descritta come una backdoor che abilita l’esfiltrazione di messaggi, account, dati di navigazione e posizione, oltre alla capacità di registrare audio dal microfono e catturare screenshot. La terza, GHOSTSABER, svolge funzioni simili concentrandosi sulla raccolta di informazioni di sistema, l’elenco delle app installate e il trasferimento di file selezionati. Un tratto distintivo della campagna è che, dopo l’invio dei dati, gli artefatti vengono rimossi, quindi non c’è persistenza a lungo termine sul dispositivo compromesso.
Risposte tecniche e raccomandazioni per gli utenti
Dal punto di vista operativo le contromisure coinvolgono aggiornamenti, configurazioni e segnalazioni. Google ha già aggiunto i domini coinvolti al servizio Safe Browsing per ridurre il rischio di nuovi accessi dai browser che usano tale protezione.
Per utenti a rischio elevato è consigliabile attivare la Lockdown Mode, una funzionalità che limita l’attacco di superfici sfruttabili da exploit mirati. È altresì importante mantenere attivi aggiornamenti e backup, e prestare attenzione ai siti visitati con Safari o app basate su WebKit.
Il nuovo approccio agli aggiornamenti di Apple
In parallelo Apple ha introdotto un meccanismo di aggiornamenti di sicurezza in background pensato per distribuire patch critiche in modo rapido e poco invasivo. Questi update sono leggeri, richiedono solo un riavvio rapido e sono progettati per correggere bug di componente come WebKit senza imporre l’installazione di un major update. La funzione è disponibile su iPhone, iPad e Mac con le versioni di sistema indicate da Apple, e rappresenta un passo verso patch più tempestive, sul modello degli hotpatch già adottati in ambito enterprise da altri vendor.
In sintesi, la combinazione di aggiornamenti tempestivi, abilitazione di misure protettive come Lockdown Mode e l’uso di servizi di blocco dei domini malevoli può ridurre significativamente l’esposizione a campagne come DarkSword. Mantenere il sistema aggiornato e adottare comportamenti di navigazione prudenti rimangono però le azioni più efficaci per difendere i propri dati.
