Si cube che uno strumento spyware and adware per iPhone recentemente documentato comprometta un dispositivo semplicemente visitando un sito Internet compromesso. Secondo i ricercatori sulla sicurezza, il toolkit, soprannominato DarkSword, è stato utilizzato in campagne rivolte a persone in Ucraina e si basa su una catena di exploit che consente agli aggressori di entrare in Safari, sfuggire ai suoi livelli di sicurezza, ottenere un accesso più approfondito a iOS, rubare dati e quindi rimuoversi in pochi minuti. Si cube che lo spyware and adware prenda di mira solo gli iPhone che eseguono versioni specifiche di iOS 18. Si cube che Apple abbia corretto le vulnerabilità.
Scoperto un nuovo pericoloso spyware and adware per iPhone
Google Risk Intelligence Group (GTIG), in partenariato con Lookout e iVerify, identificato una nuova catena completa iOS impresa che ha sfruttato molteplici vulnerabilità zero-day (non scoperte) per compromettere completamente i dispositivi. In particolare, un exploit a catena intera significa che il toolkit collega insieme diversi bug per passare da una pagina net al pieno controllo del telefono.
In questo caso, l’attacco inizia in JavaScriptCore, il motore utilizzato da Safari e WebKit per eseguire il codice del sito net. Da lì, gli aggressori escono dalla sandbox di Safari, un confine di sicurezza destinato a isolare i contenuti net rischiosi. Prima infetta il processo GPU e poi si sposta in un servizio di sistema iOS più privilegiato chiamato mediaplaybackd. Infine, la catena sfrutta i difetti del kernel per aumentare ulteriormente i privilegi e distribuire il carico utile dello spyware and adware.
Google ha affermato che la catena utilizzava molteplici vulnerabilità nello stack software program di Apple, inclusi bug di danneggiamento della memoria in JavaScriptCore, un difetto in ANGLE utilizzato dalla gestione grafica di Safari e problemi del kernel in XNU, il nucleo di iOS. Alcuni di questi difetti sono stati sfruttati come zero-day, il che significa che gli aggressori li hanno utilizzati prima che le correzioni fossero disponibili pubblicamente. I ricercatori affermano che le correzioni rilevanti sono state fornite da Apple su iOS 18.6, 18.7.2, 18.7.3, 26.1, 26.2 e 26.3, a seconda del bug.
L’attacco è descritto come una campagna Watering Gap. Ciò significa che gli aggressori hanno compromesso i siti Internet che i loro obiettivi avrebbero probabilmente visitato, quindi hanno utilizzato tali siti per fornire l’exploit. Google ha affermato che un presunto gruppo di spionaggio russo, UNC6353, ha utilizzato DarkSword negli attacchi Watering Gap ai siti net ucraini, mentre TechCrunch segnalato che il malware period progettato per infettare chiunque visitasse determinati siti ucraini dall’interno del paese.
Secondo la pubblicazione, DarkSword è stato creato per rubare password, foto, cronologia del browser e messaggi da app, tra cui WhatsApp e Telegram, insieme a testi SMS. I ricercatori hanno anche trovato codice mirato alle app di portafoglio di criptovaluta; tuttavia, non si può affermare con certezza che l’obiettivo principale della diffusione dello spyware and adware fosse il profitto finanziario.
A differenza dello spyware and adware creato per la sorveglianza a lungo termine, DarkSword sembra essere progettato per una rapida operazione di distruzione e cattura. I ricercatori hanno affermato che il tempo di permanenza su un dispositivo è stato probabilmente misurato in minuti, giusto il tempo necessario per raccogliere e inviare dati prima di scomparire. GTIG ha anche condiviso frammenti di codice che mostrano i tentativi di eliminare i registri degli arresti anomali, il che renderebbe più difficile individuare l’intrusione.
Sebbene non sia facile bloccare il tentativo dello spyware and adware di penetrare in un dispositivo già infetto, gli utenti possono ridurre al minimo le possibilità di infezione evitando siti Internet sconosciuti o advert alto rischio, soprattutto in contesti legati a conflitti o politicamente sensibili. Secondo GTIG, il gruppo di hacker dietro lo spyware and adware ha implementato la catena di exploit anche in Arabia Saudita, Turchia e Malesia. Il numero totale di dispositivi infetti è difficile da valutare.
