Een nieuw ontdekte iPhone-hacktechniek, genaamd DarkSword, vormt een aanzienlijke bedreiging voor honderden miljoenen iOS-apparaten wereldwijd. De tool, die is ingebed in gecompromitteerde websites, stelt aanvallers in staat in stilte gegevens van kwetsbare iPhones te stelen – een risico dat een groeiende trend onderstreept: geavanceerde hacktools worden steeds toegankelijker en willekeuriger.
De DarkSword-dreiging
Onderzoekers van Google, iVerify en Lookout hebben gezamenlijk het bestaan van DarkSword onthuld. Deze techniek maakt misbruik van kwetsbaarheden in oudere versies van Apple’s iOS-besturingssysteem, met name iOS 18, dat vorige maand nog steeds op ongeveer 25% van de iPhones draait. Aanvallers injecteren de tool in websites; elke iPhone die de geïnfecteerde site bezoekt, kan onmiddellijk worden aangetast.
De ernst ligt in de eenvoud ervan: hackers kunnen DarkSword eenvoudig op hun eigen servers inzetten, waardoor elke website een potentiële infectievector wordt. Dit implementatiegemak wordt nog verergerd door het feit dat de code van de tool volledig gedocumenteerd werd achtergelaten, met verklarende opmerkingen, op gecompromitteerde websites.
Russische spionage en proliferatie
DarkSword is al in verband gebracht met door de Russische staat gesponsorde spionagegroepen, die het naast een andere geavanceerde toolkit, Coruna, gebruikten. Beide tools werden via Oekraïense websites ingezet om gegevens van bezoekers te verzamelen.
De dreiging reikt echter verder dan door de staat gesponsorde actoren. DarkSword is ook waargenomen bij aanvallen gericht op slachtoffers in Saoedi-Arabië, Turkije en Maleisië, wat erop wijst dat het zich verspreidt onder meerdere hackgroepen. De brede beschikbaarheid van de tool duidt erop dat het nu een verhandelbare troef is in het ecosysteem van cybercriminaliteit.
Gegevensdiefstal en stealth-technieken
DarkSword is ontworpen om gevoelige gegevens te stelen, waaronder wachtwoorden, foto’s, berichten, browsergeschiedenis, agenda-items, gezondheidsgegevens en zelfs inloggegevens voor cryptocurrency-portemonnees. Het werkt met behulp van “bestandsloze” malware, die gebruik maakt van legitieme systeemprocessen om detectie te voorkomen en minimale sporen achter te laten.
In tegenstelling tot traditionele spyware blijft DarkSword na het opnieuw opstarten niet op een apparaat aanwezig. In plaats daarvan voert het een snelle ‘smash-and-grab’-operatie uit, waarbij gegevens binnen enkele minuten na infectie worden geëxtraheerd.
Waarom dit belangrijk is
De wijdverbreide beschikbaarheid van tools als DarkSword is alarmerend omdat het de toegangsdrempel voor cybercriminaliteit verlaagt. Voorheen waren dergelijke technieken voorbehouden voor zeer gerichte aanvallen op specifieke personen. Nu zijn ze toegankelijk voor een breder scala aan actoren, waaronder financieel gemotiveerde criminelen, waardoor het risico voor gemiddelde iPhone-gebruikers toeneemt.
Apple heeft beveiligingsupdates uitgebracht, waaronder noodpatches voor oudere apparaten, maar het enorme aantal niet-gepatchte apparaten met kwetsbare iOS-versies zorgt voor een enorm aanvalsoppervlak. Het bedrijf benadrukt dat het up-to-date houden van software de meest kritische stap is die gebruikers kunnen zetten.
De groeiende exploitatiemarkt
De opkomst van DarkSword naast Coruna wijst op een steeds actievere markt voor zero-day exploits. Deskundigen vermoeden dat een makelaarsbedrijf, mogelijk Trenchant (een dochteronderneming van L3Harris), deze tools verkoopt zonder noemenswaardige controle, waardoor ze in handen kunnen vallen van zowel overheidsactoren als cybercriminelen.
Deze trend suggereert dat zeer effectieve hacktechnieken niet langer exclusief zijn voor natiestaten of elite-hackgroepen. De commoditisering van exploits dreigt de digitale veiligheid te destabiliseren, omdat aanvallers zero-days nu als beschikbare middelen beschouwen in plaats van als zorgvuldig bewaakte wapens.
Uiteindelijk betekent de snelle verspreiding van tools als DarkSword een verschuiving naar meer willekeurige cyberaanvallen, waarbij massale uitbuiting prioriteit krijgt boven gerichte spionage.
