Um kit de crimioso para iOS está sendo usado por fornecedores de soluções de vigilância comercial e cibercriminosos ligados a governos. Os alvos são dados pessoais de usuários de iPhone.O DarkSword é um kit de exploração de cadeia completa para iOS. Ele encadeia seis vulnerabilidades distintas, quatro das quais foram exploradas como falhas zero-day – ou seja, que não tinham sido identificadas por profissionais de segurança. O objetivo é obter o comprometimento total de dispositivos em iPhones com versões do iOS de 18.4 a 18.7.Grupo de Inteligência de Ameaças do Google mapeou uma linha do tempo do DarkSword e agentes de ameaça que se beneficiam de suas tecnologias. Imagem: Google Threat Intelligence.A cadeia de exploração opera inteiramente em JavaScript, o que permite que os invasores contornem as medidas de mitigação da Apple. Isso inclui a Page Protection Layer (PPL) e o Secure Page Table Monitor (SPTM), que impediriam a execução de código binário nativo não assinado.O nome da cadeia de exploração foi identificado pelo grupo de Inteligência de Ameaças do Google (GTIG), pela iVerify e pela Lookout, com base em marcas de ferramentas encontradas nas cargas úteis analisadas. As empresas de cibersegurança confirmaram o uso desse kit em campanhas direcionadas contra vítimas na Arábia Saudita, Turquia, Malásia e Ucrânia.Cadeia de exploração de seis vulnerabilidades no iOSA cadeia de seis vulnerabilidades começa com a exploração de execução remota de código (RCE) direcionada ao JavaScriptCore. Esse é o mecanismo JavaScript da Apple usado no Safari e no WebKit. Usuários de iPhone podem se proteger ao manter os dispositivos atualizados.A cadeia então avança por duas etapas de fuga da sandbox, uma escalada de privilégios local e uma implantação final de carga útil. Isso é necessário para que os invasores tenham privilégios completos no nível do kernel.A falha conhecida como CVE-2026-20700 é uma omissão do Código de Autenticação de Ponteiro (PAC) no vinculador dinâmico dyld da Apple. A vulnerabilidade foi encadeada diretamente com ambas as explorações de RCE e corrigido apenas no iOS 26.3 após o GTIG ter relatado o problema à Apple.Três famílias de malware se beneficiaram dos ataquesO Google identificou três famílias distintas de malware de pós-exploração implantadas após um ataque bem-sucedido do DarkSword. Cada uma adaptada às necessidades específicas de um determinado agente de ameaças.O GHOSTKNIFE é implantado pelo grupo UNC6748 por meio de um site de phishing com tema do Snapchat (snapshare[.]chat). Ele é um backdoor em JavaScript capaz de extrair contas conectadas, mensagens, dados do navegador, histórico de localização e gravações de áudio do microfone. Ele se comunica com seu servidor de comando e controle (C2) por meio de um protocolo binário personalizado criptografado com ECDH e AES, e exclui ativamente os logs de falhas do dispositivo para dificultar a detecção forense.Já o GHOSTSABER, implantado pela empresa turca de vigilância comercial PARS Defense em campanhas direcionadas à Turquia e à Malásia, suporta mais de 15 comandos C2. Isso inclui enumeração de dispositivos, exfiltração de arquivos, execução de consultas SQLite arbitrárias e uploads de miniaturas de fotos. Site imita a identidade visual e elementos de comunicação do SnapChat, rede social de compartilhamento de fotos, para enganar usuários. Imagem: Google Threat Intelligence.Alguns comandos, como gravação de áudio e geolocalização em tempo real, ainda não estão totalmente implementados no JavaScript. Isso sugere que módulos binários adicionais são baixados em tempo de execução diretamente do servidor C2.O terceiro malware, o GHOSTBLADE, é atribuído ao suposto agente de espionagem russo UNC6353 e funciona como um minerador de dados abrangente. Ele exfiltra mensagens do iMessage, Telegram e WhatsApp, dados de carteiras de criptomoedas, histórico e cookies do Safari. Além disso, ele também verifica bancos de dados de saúde, chaves de dispositivo, histórico de localização e senhas de Wi-Fi salvas. Equipe do Google mapeou os passos seguidos pelo DarkSword para infecção de vítimas. Imagem: Google Threat Intelligence.Ao contrário das outras duas famílias, o GHOSTBLADE não opera de forma persistente nem suporta comandos interativos de backdoor. No entanto, a amplitude de sua coleta de dados o torna altamente valioso para operações de inteligência. Chama a atenção uma referência no código da biblioteca a uma função chamada startSandworm(), ainda sem implementação, possivelmente o codinome de um exploit separado ainda por vir.Métodos de distribuição do DarkSwordCada agente de ameaças adotou uma abordagem própria para distribuir o DarkSword. O UNC6748 utilizou um site fraudulento imitando o Snapchat, com carregadores JavaScript ofuscados, proteções anti-depuração e impressão digital de armazenamento de sessão para evitar reinfestar as mesmas vítimas.Grupos tomaram direções diferentes ao se aproveitar do DarkSword.O PARS Defense criptografou as etapas do exploit por meio de troca de chaves ECDH entre sua infraestrutura e o dispositivo da vítima. O que demonstra maior maturidade em segurança operacional.O UNC6353, por sua vez, inseriu tags maliciosas em sites ucranianos comprometidos, carregando o DarkSword silenciosamente por meio de iFrames ocultos. Um comentário no código-fonte escrito em russo reforça a atribuição ao grupo, que já havia sido associado anteriormente ao kit de exploração Coruna para iOS. O GTIG segue trabalhando com o CERT-UA para conter essa campanha, que permanecia ativa até março de 2026.Correções e recomendaçõesO GTIG reportou todas as vulnerabilidades do DarkSword à Apple no final de 2025. As seis CVEs foram corrigidas, a maioria antes do lançamento do iOS 26.3 e o restante junto com ele. O Google também adicionou todos os domínios de distribuição identificados ao Safe Browsing.Recomenda-se fortemente que os usuários atualizem para a versão mais recente do iOS. Para quem ainda não tem atualizações disponíveis, ativar o Modo de Bloqueio é uma medida adicional eficaz contra esse tipo de exploração.Acompanhe o TecMundo nas redes sociais. Para mais notícias de segurança e tecnologia, inscreva-se em nossa newsletter e canal do YouTube.