Сотни миллионов пользователей Apple оказались под угрозой потенциального хищения информации из-за программного эксплойта DarkSword, который нацелен на iPhone, до сих пор работающие на версиях iOS от 18.4 до 18.6.2. В Украине один из сайтов, который перенаправляет на вредоносный код, имеет домен "gov.ua", что означает, что злоумышленники смогли взломать сервер украинского правительства. Об этом сообщают эксперты iVerify и Lookout, передает УНН.
Детали
Как отмечают исследователи iVerify, они обнаружили полноцепочечный эксплойт (компьютерная программа, фрагмент программного кода или последовательность команд, которые используют уязвимости в программном обеспечении и предназначены для атак на вычислительную систему — ред.) iOS для полной компрометации устройств.
По данным исследователей, эксплойт называется DarkSword и нацелен, в частности, на iPhone, до сих пор работающие на версиях iOS от 18.4 до 18.6.2.
Эти версии, выпущенные в 2025 году, до сих пор работают на 270 миллионах устройств. Атака была обнаружена благодаря подозрительному URL-адресу, размещенному на той же инфраструктуре, которую злоумышленник из россии использовал во время первой известной атаки Corona против Украины, объявленной 3 марта 2026 года. Примечательно, что один из сайтов, перенаправляющий на вредоносную полезную нагрузку, имеет адрес ".gov.ua", а это означает, что злоумышленнику удалось скомпрометировать сервер украинского правительства
— говорится в исследовании.
Эксперты отметили, что они сотрудничали с CERT-UA — командой реагирования на киберинциденты, кибератаки, киберугрозы, которая функционирует в составе Государственной службы специальной связи и защиты информации Украины.
Отмечается, что DarkSword, полностью написанный на JavaScript, содержит шесть уязвимостей в двух цепочках эксплойтов, которые были исправлены поэтапно, начиная с iOS 26.3. Начиная с WebKit и двигаясь вниз к ядру, он достигает полного взлома iPhone с помощью методов, которых ранее никогда не было публично.
Хакеры взломали 14 тыс. роутеров по всему миру и превратили их в огромную сеть ботов14.03.26, 14:00 • 13158 просмотров
В отличие от Coruna, которая, казалось, была направлена преимущественно на кражу криптовалюты, DarkSword, похоже, является инструментом наблюдения и сбора разведывательных данных, который извлекает полные данные, включая пароли Wi-Fi, текстовые сообщения, историю звонков, историю местоположения root, историю браузера, данные SIM-карты и сотовой связи, а также базы данных здоровья, заметок и календаря, хотя он также ищет криптокошельки
— отмечают эксперты.
Также эксперты подчеркивают, что российский злоумышленник, развернувший DarkSword, имеет очень низкую операционную безопасность. Он оставил полный код JavaScript незашифрованным, незащищенным и легкодоступным. Эта небрежность, вместе с небрежностью китайской преступной группы, которая использовала Coruna, привела к тому, что обе атаки в конечном итоге были разоблачены. Эксплойты DarkSword и Coruna легко перепрофилировать и развернуть, что делает очень вероятным, что больше и, возможно, модифицированных развертываний шпионского программного обеспечения DarkSword и Coruna активно заражают пользователей iOS.
Учитывая, что код сервера инфильтрации содержал комментарии на русском языке, а база кода эксплойта содержала оригинальные названия переменных и инструкции по развертыванию на английском языке, оператор и разработчик, вероятно, являются разными лицами, что свидетельствует о независимом получении цепочки эксплойтов. В сочетании с низкой операционной безопасностью это говорит о нескольких различных возможностях. Во-первых, злоумышленник не волнуется о том, что его поймают, поскольку существует мало инструментов для фактического обнаружения этих атак на iOS. Во-вторых, запас эксплойтов для iOS настолько велик, что злоумышленник не волнуется о том, чтобы его сжечь. В-третьих, злоумышленник не осознает ценности эксплойта
— добавляют эксперты.
Укрэнерго предупреждает о рассылке вредоносного программного обеспечения под видом графиков отключений27.02.26, 21:11 • 4569 просмотров
Эксперты Lookout отмечают, что DarkSword, похоже, использует подход "ударил и убежал", собирая и извлекая целевые данные с устройства в течение секунд или максимум минут с последующей очисткой.
Цепочки эксплойтов, подобные тому, что используется в DarkSword, позволяют злоумышленникам получить полный доступ к устройству пользователя практически без каких-либо действий с его стороны. Эти сложные и чрезвычайно дорогие наборы эксплойтов часто считаются технологиями, доступными только государственным организациям и компаниям, которые создают инструменты для правоохранительных органов и разведывательных служб. Открытие DarkSword и предыдущего Coruna доказывают, что существует рынок вторичных продуктов для таких эксплойтов, который позволяет группам с более ограниченными ресурсами и мотивами, помимо целенаправленного шпионажа, получать первоклассные эксплойты и использовать их против пользователей мобильных устройств. Поскольку мобильные устройства имеют доступ ко всему, от финансовых счетов до корпоративных данных, это открытие еще раз подчеркивает необходимость их защиты от самого широкого спектра возможных векторов атак
— отмечают эксперты.
Эксперты обнаружили новое шпионское ПО для iPhone, которое может поражать миллионы устройств19.03.26, 02:00 • 16337 просмотров
