📰 Informação fresquinha chegando para você!
Confira agora e compartilhe com seus amigos!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Um novo kit de exploração para dispositivos Apple iOS projetado para roubar dados confidenciais está sendo utilizado por vários agentes de ameaças desde pelo menos novembro de 2025, de acordo com relatórios do Google Threat Intelligence Group (GTIG), iVerify e Lookout.
De acordo com o GTIG, vários fornecedores de vigilância comercial e supostos atores patrocinados pelo Estado utilizaram o kit de exploração de cadeia completa, codinome DarkSword, em campanhas distintas visando a Arábia Saudita, Turquia, Malásia e Ucrânia.
A descoberta do DarkSword torna-o o segundo kit de exploração do iOS, depois do Coruna, a ser descoberto no espaço de um mês. O kit foi projetado para atingir iPhones que executam versões iOS entre iOS 18.4 e 18.7, e teria sido implantado por um suposto grupo de espionagem russo chamado UNC6353 em ataques direcionados a usuários ucranianos.
É importante notar que o UNC6353 também foi associado ao uso do Coruna em ataques dirigidos a ucranianos, injetando a estrutura JavaScript em sites comprometidos.
“DarkSword visa extrair um extenso conjunto de informações pessoais, incluindo credenciais do dispositivo e visa especificamente uma infinidade de aplicativos de carteira criptografada, sugerindo um ator de ameaça com motivação financeira”, disse Lookout. “Notavelmente, DarkSword parece adotar uma abordagem de ‘bater e fugir’, coletando e exfiltrando os dados direcionados do dispositivo em segundos ou no máximo minutos, seguido de limpeza.”
Cadeias de exploração como Coruna e DarkSword são projetadas para facilitar o acesso completo ao dispositivo da vÃtima com pouca ou nenhuma interação necessária por parte do usuário. As descobertas mostram mais uma vez que existe um mercado de segunda mão para explorações que permite que grupos de ameaças com recursos limitados e objectivos não necessariamente alinhados com a espionagem cibernética adquiram “exploits de topo de gama” e utilizem-nos para infectar dispositivos móveis.
“O uso de DarkSword e Coruna por uma variedade de atores demonstra o risco contÃnuo de proliferação de exploits entre atores de diversas geografias e motivações”, disse GTIG.
A cadeia de exploração vinculada ao kit recém-descoberto faz uso de seis vulnerabilidades diferentes para implantar três cargas úteis, das quais CVE-2026-20700, CVE-2025-43529 e CVE-2025-14174 foram exploradas como zero-day, antes de serem corrigidos pela Apple:
CVE-2025-31277 – Vulnerabilidade de corrupção de memória no JavaScriptCore (corrigido na versão 18.6)
CVE-2026-20700 - Bypass do PAC (código de autenticação de ponteiro do modo de usuário) em dyld (corrigido na versão 26.3)
CVE-2025-43529 – Vulnerabilidade de corrupção de memória no JavaScriptCore (corrigido nas versões 18.7.3 e 26.2)
CVE-2025-14174 – Vulnerabilidade de corrupção de memória no ANGLE (corrigido nas versões 18.7.3 e 26.2)
CVE-2025-43510 – Vulnerabilidade de gerenciamento de memória no kernel do iOS (corrigido nas versões 18.7.2 e 26.1)
CVE-2025-43520 – Vulnerabilidade de corrupção de memória no kernel do iOS (corrigido nas versões 18.7.2 e 26.1)
A Lookout disse que descobriu o DarkSword após uma análise da infraestrutura maliciosa associada ao UNC6353, identificando que um dos domÃnios comprometidos hospedava um elemento iFrame malicioso responsável por carregar um JavaScript para dispositivos de impressão digital que visitam o site e determinar se o alvo precisa ser roteado para a cadeia de exploração do iOS. O método exato pelo qual os sites são infectados não é conhecido atualmente.
O que tornou isso notável foi que o JavaScript estava procurando especificamente dispositivos iOS executando versões entre 18.4 e 18.6.2, ao contrário do Coruna, que tinha como alvo versões mais antigas do iOS de 13.0 a 17.2.1.
“DarkSword é uma cadeia completa de exploits e infostealer escrita em JavaScript”, explicou Lookout. “Ele aproveita múltiplas vulnerabilidades para estabelecer a execução privilegiada de código para acessar informações confidenciais e exfiltrá-las do dispositivo.”
Como é o caso do Coruna, a cadeia de ataque começa quando um usuário visita, através do Safari, uma página da web que incorpora o iFrame contendo JavaScript. Uma vez lançado, o DarkSword é capaz de quebrar os limites da sandbox WebContent (também conhecido como processo de renderização do Safari) e aproveitar o WebGPU para injetar no mediaplaybackd, um daemon de sistema introduzido pela Apple para lidar com funções de reprodução de mÃdia.
Isso, por sua vez, permite que o malware dataminer – conhecido como GHOSTBLADE – obtenha acesso a processos privilegiados e partes restritas do sistema de arquivos. Após um escalonamento de privilégios bem-sucedido, um módulo orquestrador é usado para carregar componentes adicionais projetados para coletar dados confidenciais, bem como injetar uma carga útil de exfiltração no Springboard para desviar as informações preparadas para um servidor externo por HTTP(S).
Isso inclui e-mails, arquivos do iCloud Drive, contatos, mensagens SMS, histórico de navegação e cookies do Safari, carteira de criptomoeda e dados de troca, nomes de usuário, senhas, fotos, histórico de chamadas, configuração e senhas de Wi-Fi WiFi, localização
De acordo com o GTIG, vários fornecedores de vigilância comercial e supostos atores patrocinados pelo Estado utilizaram o kit de exploração de cadeia completa, codinome DarkSword, em campanhas distintas visando a Arábia Saudita, Turquia, Malásia e Ucrânia.
A descoberta do DarkSword torna-o o segundo kit de exploração do iOS, depois do Coruna, a ser descoberto no espaço de um mês. O kit foi projetado para atingir iPhones que executam versões iOS entre iOS 18.4 e 18.7, e teria sido implantado por um suposto grupo de espionagem russo chamado UNC6353 em ataques direcionados a usuários ucranianos.
É importante notar que o UNC6353 também foi associado ao uso do Coruna em ataques dirigidos a ucranianos, injetando a estrutura JavaScript em sites comprometidos.
“DarkSword visa extrair um extenso conjunto de informações pessoais, incluindo credenciais do dispositivo e visa especificamente uma infinidade de aplicativos de carteira criptografada, sugerindo um ator de ameaça com motivação financeira”, disse Lookout. “Notavelmente, DarkSword parece adotar uma abordagem de ‘bater e fugir’, coletando e exfiltrando os dados direcionados do dispositivo em segundos ou no máximo minutos, seguido de limpeza.”
Cadeias de exploração como Coruna e DarkSword são projetadas para facilitar o acesso completo ao dispositivo da vÃtima com pouca ou nenhuma interação necessária por parte do usuário. As descobertas mostram mais uma vez que existe um mercado de segunda mão para explorações que permite que grupos de ameaças com recursos limitados e objectivos não necessariamente alinhados com a espionagem cibernética adquiram “exploits de topo de gama” e utilizem-nos para infectar dispositivos móveis.
“O uso de DarkSword e Coruna por uma variedade de atores demonstra o risco contÃnuo de proliferação de exploits entre atores de diversas geografias e motivações”, disse GTIG.
A cadeia de exploração vinculada ao kit recém-descoberto faz uso de seis vulnerabilidades diferentes para implantar três cargas úteis, das quais CVE-2026-20700, CVE-2025-43529 e CVE-2025-14174 foram exploradas como zero-day, antes de serem corrigidos pela Apple:
CVE-2025-31277 – Vulnerabilidade de corrupção de memória no JavaScriptCore (corrigido na versão 18.6)
CVE-2026-20700 - Bypass do PAC (código de autenticação de ponteiro do modo de usuário) em dyld (corrigido na versão 26.3)
CVE-2025-43529 – Vulnerabilidade de corrupção de memória no JavaScriptCore (corrigido nas versões 18.7.3 e 26.2)
CVE-2025-14174 – Vulnerabilidade de corrupção de memória no ANGLE (corrigido nas versões 18.7.3 e 26.2)
CVE-2025-43510 – Vulnerabilidade de gerenciamento de memória no kernel do iOS (corrigido nas versões 18.7.2 e 26.1)
CVE-2025-43520 – Vulnerabilidade de corrupção de memória no kernel do iOS (corrigido nas versões 18.7.2 e 26.1)
A Lookout disse que descobriu o DarkSword após uma análise da infraestrutura maliciosa associada ao UNC6353, identificando que um dos domÃnios comprometidos hospedava um elemento iFrame malicioso responsável por carregar um JavaScript para dispositivos de impressão digital que visitam o site e determinar se o alvo precisa ser roteado para a cadeia de exploração do iOS. O método exato pelo qual os sites são infectados não é conhecido atualmente.
O que tornou isso notável foi que o JavaScript estava procurando especificamente dispositivos iOS executando versões entre 18.4 e 18.6.2, ao contrário do Coruna, que tinha como alvo versões mais antigas do iOS de 13.0 a 17.2.1.
“DarkSword é uma cadeia completa de exploits e infostealer escrita em JavaScript”, explicou Lookout. “Ele aproveita múltiplas vulnerabilidades para estabelecer a execução privilegiada de código para acessar informações confidenciais e exfiltrá-las do dispositivo.”
Como é o caso do Coruna, a cadeia de ataque começa quando um usuário visita, através do Safari, uma página da web que incorpora o iFrame contendo JavaScript. Uma vez lançado, o DarkSword é capaz de quebrar os limites da sandbox WebContent (também conhecido como processo de renderização do Safari) e aproveitar o WebGPU para injetar no mediaplaybackd, um daemon de sistema introduzido pela Apple para lidar com funções de reprodução de mÃdia.
Isso, por sua vez, permite que o malware dataminer – conhecido como GHOSTBLADE – obtenha acesso a processos privilegiados e partes restritas do sistema de arquivos. Após um escalonamento de privilégios bem-sucedido, um módulo orquestrador é usado para carregar componentes adicionais projetados para coletar dados confidenciais, bem como injetar uma carga útil de exfiltração no Springboard para desviar as informações preparadas para um servidor externo por HTTP(S).
Isso inclui e-mails, arquivos do iCloud Drive, contatos, mensagens SMS, histórico de navegação e cookies do Safari, carteira de criptomoeda e dados de troca, nomes de usuário, senhas, fotos, histórico de chamadas, configuração e senhas de Wi-Fi WiFi, localização
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #darksword #ios #exploit #kit #usa #6 #falhas, #3 #dias #zero #para #controle #total #do #dispositivo
🔔 Siga-nos para não perder nenhuma atualização!
Postar um comentário