Una tecnica di hacking dell’iPhone scoperta di recente, denominata DarkSword, rappresenta una minaccia significativa per centinaia di milioni di dispositivi iOS in tutto il mondo. Lo strumento, trovato incorporato in siti Web compromessi, consente agli aggressori di rubare silenziosamente dati da iPhone vulnerabili – un rischio che sottolinea una tendenza crescente: sofisticati strumenti di hacking stanno diventando sempre più accessibili e indiscriminati.
La minaccia della Spada Oscura
I ricercatori di Google, iVerify e Lookout hanno rivelato congiuntamente l’esistenza di DarkSword. Questa tecnica sfrutta le vulnerabilità nelle versioni precedenti del sistema operativo iOS di Apple, in particolare iOS 18, che funziona ancora su circa il 25% degli iPhone a partire dal mese scorso. Gli aggressori inseriscono lo strumento nei siti web; qualsiasi iPhone che visiti il sito infetto può essere compromesso immediatamente.
La gravità sta nella sua semplicità: gli hacker possono facilmente implementare DarkSword sui propri server, trasformando qualsiasi sito web in un potenziale vettore di infezione. Questa facilità di implementazione è aggravata dal fatto che il codice dello strumento è stato lasciato completamente documentato, con commenti esplicativi, sui siti Web compromessi.
Spionaggio e proliferazione russa
DarkSword è già stato collegato a gruppi di spionaggio sponsorizzati dallo stato russo, che lo hanno utilizzato insieme a un altro toolkit avanzato, Coruna. Entrambi gli strumenti sono stati implementati attraverso i siti web ucraini per raccogliere dati dai visitatori.
Tuttavia, la minaccia si estende oltre gli attori sponsorizzati dallo Stato. DarkSword è stato osservato anche in attacchi contro vittime in Arabia Saudita, Turchia e Malesia, indicando la sua proliferazione a più gruppi di hacker. L’ampia disponibilità dello strumento suggerisce che ora è una risorsa commerciabile nell’ecosistema del crimine informatico.
Furto di dati e tecniche furtive
DarkSword è progettato per rubare dati sensibili, tra cui password, foto, messaggi, cronologia del browser, voci del calendario, dati sanitari e persino credenziali del portafoglio di criptovaluta. Funziona utilizzando malware “senza file”, che sfrutta processi di sistema legittimi per evitare il rilevamento e lasciare tracce minime.
A differenza dello spyware tradizionale, DarkSword non persiste sul dispositivo dopo il riavvio. Esegue invece una rapida operazione “smash-and-grab”, estraendo i dati entro pochi minuti dall’infezione.
Perché è importante
La diffusa disponibilità di strumenti come DarkSword è allarmante perché abbassa la barriera all’ingresso per la criminalità informatica. In precedenza, tali tecniche erano riservate ad attacchi altamente mirati contro individui specifici. Ora sono accessibili a una gamma più ampia di attori, compresi i criminali motivati finanziariamente, aumentando il rischio per gli utenti medi di iPhone.
Apple ha rilasciato aggiornamenti di sicurezza, comprese patch di emergenza per i dispositivi più vecchi, ma l’enorme numero di dispositivi senza patch che eseguono versioni iOS vulnerabili crea un’enorme superficie di attacco. L’azienda sottolinea che mantenere aggiornato il software è il passo più critico che gli utenti possono compiere.
Il mercato dello sfruttamento in espansione
L’emergere di DarkSword insieme a Coruna indica un mercato sempre più attivo per gli exploit zero-day. Gli esperti sospettano che una società di “intermediazione”, forse Trenchant (una filiale di L3Harris), stia vendendo questi strumenti senza controlli significativi, permettendo loro di cadere nelle mani sia di attori statali che di criminali informatici.
Questa tendenza suggerisce che le tecniche di hacking altamente efficaci non sono più esclusive degli stati-nazione o dei gruppi di hacking d’élite. La mercificazione degli exploit minaccia di destabilizzare la sicurezza digitale, poiché gli aggressori ora considerano gli zero-day come risorse usa e getta piuttosto che come armi attentamente custodite.
In definitiva, la rapida proliferazione di strumenti come DarkSword significa uno spostamento verso attacchi informatici più indiscriminati, in cui lo sfruttamento di massa ha la priorità rispetto allo spionaggio mirato.
