La settimana scorsa, i ricercatori di sicurezza informatica hanno scoperto una campagna di hacking rivolta agli utenti di iPhone che utilizzava uno strumento di hacking avanzato chiamato DarkSword. Ora qualcuno ha fatto trapelare una versione più recente di DarkSword e l’ha pubblicata sul sito di code-sharing GitHub.
I ricercatori avvertono che ciò consentirà a qualsiasi hacker di utilizzare facilmente gli strumenti per prendere di mira gli utenti iPhone che utilizzano versioni precedenti dei sistemi operativi Apple che non si sono ancora aggiornati all’ultimo software program iOS 26. Ciò probabilmente riguarda centinaia di milioni di iPhone e iPad utilizzati attivamente, secondo i dati di Apple sui dispositivi obsoleti.
“Questo è un male. Sono troppo facili da riutilizzare”, ha detto lunedì a TechCrunch Matthias Frielingsdorf, co-fondatore della startup di sicurezza cellular iVerify. “Non penso che questo possa più essere contenuto. Quindi dobbiamo aspettarci che i criminali e altri inizino a implementarlo.”
Frielingsdorf ha affermato che queste nuove versioni dello spy ware DarkSword condividono la stessa infrastruttura con quelle che lui e i suoi colleghi di iVerify analizzato in precedenzasebbene i file siano leggermente diversi. I file caricati su GitHub non sono complicati, solo HTML e JavaScript, ha detto, il che significa che chiunque può copiarli, incollarli e ospitarli su un server “in un paio di minuti o ore”.
“Gli exploit funzioneranno fuori dagli schemi”, ha detto Frielingsdorf. “Non è richiesta alcuna competenza iOS.”
Kimberly Samra, portavoce di Google, che in precedenza ha analizzato l’exploit DarkSwordhanno affermato che i ricercatori dell’azienda concordano con la valutazione di Frielingsdorf.
Contattaci
Hai ulteriori informazioni su Darksword, Coruna o altri strumenti governativi di hacking e spy ware? Da un dispositivo non lavorativo, puoi contattare Lorenzo Franceschi-Bicchierai in modo sicuro su Sign al numero +1 917 257 1382, oppure tramite Telegram, Keybase e Wire @lorenzofb, o tramite e mail.
Un hobbista della sicurezza che si fa chiamare matteyeux ha anche detto a TechCrunch che è davvero banale utilizzare i campioni di DarkSword trapelati. Matteyeux ha scritto in un submit di X Monday in cui affermava di essere riuscito a hackerare un pill iPad mini con iOS 18, la generazione precedente del sistema operativo vulnerabile a DarkSword, utilizzando il campione “within the wild” di DarkSword che circola on-line.
Evento Techcrunch
San Francisco, California
|
13-15 ottobre 2026
La portavoce di Apple Sarah O’Rourke ha dichiarato a TechCrunch che la società period a conoscenza dell’exploit che prendeva di mira dispositivi con sistemi operativi più vecchi e obsoleti e l’11 marzo ha rilasciato un aggiornamento di emergenza per i dispositivi che non sono in grado di eseguire le versioni recenti di iOS.
“Mantenere aggiornato il software program è la cosa più importante che puoi fare per mantenere la sicurezza dei tuoi prodotti Apple”, ha affermato O’Rourke, aggiungendo che i dispositivi con software program aggiornato non erano a rischio di questi attacchi segnalati e che la modalità Lockdown bloccherebbe anche questi attacchi specifici.
Un portavoce di Microsoft, proprietaria di GitHub, non ha risposto immediatamente a una richiesta di commento.
Il codice, a cui TechCrunch non si collega, poiché può essere utilizzato in attacchi attivi, contiene diversi commenti che descrivono come funzionano gli exploit e come implementarli.
Un commento, probabilmente scritto da uno degli sviluppatori che hanno lavorato su DarkSword, afferma che l’exploit “legge ed esfiltra file rilevanti dal punto di vista forense dai dispositivi iOS tramite HTTP”, riferendosi al furto di informazioni dall’iPhone o all’iPad di una persona e all’invio dei dati su Web a un server controllato dall’aggressore.
“Questo payload dovrebbe essere inserito in un processo con classe di accesso al filesystem”, si legge nel commento.
In un caso, il codice fa riferimento all'”attività post-sfruttamento” e descrive il processo dopo che il malware ha avuto accesso al telefono della persona e ne ha impossessato i contenuti, inclusi contatti, messaggi, cronologia delle chiamate e portachiavi iOS, che memorizza le password Wi-Fi e altri segreti e li scarica su un server remoto.
Un altro file contiene riferimenti al caricamento di dati su un popolare sito internet di abbigliamento ucraino, sebbene TechCrunch non sia riuscita a determinarne immediatamente il motivo. DarkSword sarebbe stato utilizzato dagli hacker del governo russo contro obiettivi ucraini.
Questo particolare spy ware funziona specificamente contro iPhone e iPad con iOS 18, secondo iVerify, GoogleE Attenzioneche ha anche precedentemente analizzato il malware DarkSword.
Secondo i numeri di Applecirca un quarto di tutti gli utenti iPhone e iPad utilizzano ancora iOS 18 o versioni precedenti sul proprio dispositivo. Con più di 2,5 miliardi dispositivi attivi, che probabilmente equivalgono a centinaia di milioni di persone i cui dispositivi sono vulnerabili agli attacchi DarkSword.
Ecco perché Frielingsdorf consiglia a tutti di aggiornare il sistema operativo del proprio iPhone.
La scoperta di DarkSword è avvenuta solo poche settimane dopo che i ricercatori hanno scoperto un altro toolkit avanzato per l’hacking di iPhone noto come Coruna. Come riportato da TechCrunch, Coruna è stato originariamente sviluppato dall’appaltatore della difesa L3Harris, la cui divisione Trenchant produce strumenti di hacking per il governo degli Stati Uniti e i suoi alleati.
