Набор эксплойтов DarkSword атакует сотни миллионов айфонов под управлением iOS 18
Исследователи из iVerify обнаружили набор эксплойтов под названием DarkSword, который распространялся через взломанные легитимные сайты и бил по устройствам с iOS версий от 18.4 до 18.6.2. Свое мрачное имя атака получила из строки кода, которую авторы оставили в модуле для кражи паролей Wi-Fi: const TAG = "DarkSword-WIFI-DUMP".
По оценкам экспертов, уязвимости затрагивают около 220 миллионов устройств — это примерно 14,2% всех iPhone в мире. Вредоносный код внедрялся через скрипт на домене cdncounter[.]net, который маскировался под обычный виджет на скомпрометированных ресурсах. Атака представляет собой классический «водопой»: достаточно было просто зайти на заражённый сайт, никаких кликов по подозрительным ссылкам не требовалось.
Цепочка эксплойтов DarkSword эксплуатирует шесть различных уязвимостей — от багов в JavaScript движка WebKit до проблем в графическом процессоре браузера Safari через библиотеку ANGLE и дыр в драйвере AppleM2ScalerCSCDriver. Особенность атаки в том, что весь вредоносный код написан на JavaScript и работает исключительно в памяти, внедряясь в системные процессы mediaplaybackd, SpringBoard и wifid. Никаких традиционных исполняемых файлов или библиотек.
После успешного взлома DarkSword выкачивает из устройства практически всё: переписку из SMS и iMessage, историю звонков, контакты, данные мессенджеров Telegram и WhatsApp, историю браузера Safari, геолокацию, заметки, метаданные фотографий, информацию из приложения «Здоровье» и файлы криптовалютных кошельков от десятков сервисов — от биржи Coinbase и кошелька Binance до расширения MetaMask и приложения Trust Wallet. Особенно злоумышленников интересует связка ключей iOS: вредонос копирует файлы keychain-2.db и различные keybag-файлы (которые хранят ключи шифрования) во временную папку с полными правами доступа, а затем отправляет всё это богатство на сервер sqwas[.]shapelie[.]com через порты 8881 и 8882.
После кражи данных программа пытается замести следы, удаляя отчёты о сбоях, хотя делает это не очень аккуратно — часть логов всё равно остаётся. Команда Google подтвердила, что DarkSword использовался разными хакерскими группами для атак в нескольких странах мира, что говорит о широкой доступности этого инструментария.
Что примечательно, код эксплойтов вообще не был обфусцирован — авторы оставили читаемые комментарии на русском языке в ранних модулях и на английском в основных компонентах. Более того, в коде валялись отладочные функции и подробные инструкции по использованию, что сильно упростило работу исследователям.
Apple выпустила исправления для всех задействованных уязвимостей в обновлениях iOS 26.1, 26.2 и 26.3. Так что всем обновляться! Любите вы «жидкое стекло» или нет.
