iPhones – Um sofisticado kit de exploração voltado ao sistema iOS tem sido utilizado por fornecedores de vigilância comercial e cibercriminosos ligados a governos para invadir iPhones e roubar dados pessoais de usuários. A ferramenta, chamada DarkSword, já foi identificada em campanhas direcionadas no Oriente Médio, na Ásia e na Ucrânia.
O DarkSword é um kit de exploração de cadeia completa que combina seis vulnerabilidades distintas, sendo quatro delas classificadas como falhas zero-day, ou seja, desconhecidas até então por profissionais de segurança. O objetivo é alcançar o comprometimento total de dispositivos que operam com versões do iOS entre 18.4 e 18.7.
LEIA: Receita libera programa do IR 2026 e detalha novidades da declaração
A cadeia de ataque opera inteiramente em JavaScript, o que permite contornar mecanismos de proteção da Apple, como a Page Protection Layer (PPL) e o Secure Page Table Monitor (SPTM), responsáveis por impedir a execução de códigos não assinados.
A identificação do nome da ferramenta foi feita pelo Grupo de Inteligência de Ameaças do Google (GTIG), em conjunto com as empresas iVerify e Lookout, a partir de marcas encontradas nas cargas úteis analisadas. As organizações confirmaram o uso do kit em ataques direcionados contra vítimas na Arábia Saudita, Turquia, Malásia e Ucrânia.
Como funciona a cadeia de exploração
A sequência de ataques começa com a exploração de execução remota de código (RCE) no JavaScriptCore, mecanismo utilizado pela Apple no Safari e no WebKit. Em seguida, o processo inclui duas etapas de fuga da sandbox, uma escalada de privilégios local e, por fim, a implantação da carga maliciosa, garantindo acesso completo ao nível do kernel do sistema.
Uma das falhas centrais, identificada como CVE-2026-20700, envolve a omissão do Código de Autenticação de Ponteiro (PAC) no vinculador dinâmico dyld da Apple. Essa vulnerabilidade foi explorada em conjunto com as falhas de RCE e corrigida apenas no iOS 26.3, após ser reportada pelo GTIG.
Malwares exploram o acesso obtido
Após a invasão, três famílias de malware distintas foram identificadas pelo Google como parte das operações de pós-exploração, cada uma adaptada a objetivos específicos.
O GHOSTKNIFE, associado ao grupo UNC6748, é distribuído por meio de um site de phishing que simula o Snapchat (snapsharechat). Trata-se de um backdoor em JavaScript capaz de coletar contas conectadas, mensagens, dados de navegação, histórico de localização e até gravações de áudio. Ele utiliza comunicação criptografada com servidores de comando e controle e apaga registros do sistema para dificultar a detecção.
Já o GHOSTSABER, ligado à empresa turca PARS Defense, foi usado em campanhas na Turquia e na Malásia. O malware suporta mais de 15 comandos remotos, incluindo extração de arquivos, consultas a bancos de dados SQLite e envio de miniaturas de fotos. Parte de suas funcionalidades sugere o uso de módulos adicionais carregados dinamicamente.
O terceiro, GHOSTBLADE, é atribuído ao suposto agente russo UNC6353 e atua como um coletor abrangente de dados. Ele extrai informações de aplicativos como iMessage, Telegram e WhatsApp, além de acessar carteiras de criptomoedas, histórico do Safari, bancos de dados de saúde, senhas de Wi-Fi e localização do usuário. Embora não funcione de forma persistente, seu alcance o torna valioso para operações de inteligência.
Um detalhe que chamou a atenção dos pesquisadores foi a presença, no código, de uma função chamada startSandworm(), ainda sem implementação, possivelmente indicando um novo exploit em desenvolvimento.
Distribuição e alcance global
Os diferentes grupos responsáveis pelas campanhas adotaram estratégias próprias para disseminar o DarkSword. O UNC6748 utilizou sites falsos com carregadores JavaScript ofuscados e mecanismos para evitar reinfectar as mesmas vítimas.
A PARS Defense implementou criptografia nas etapas do ataque por meio de troca de chaves ECDH, demonstrando maior sofisticação operacional. Já o grupo UNC6353 inseriu códigos maliciosos em sites ucranianos comprometidos, utilizando iFrames ocultos para carregar o exploit de forma silenciosa.
Um comentário em russo encontrado no código reforça a ligação com esse último grupo, que já havia sido associado ao kit de exploração Coruna para iOS. O GTIG continua trabalhando com o CERT-UA para conter a campanha, que seguia ativa até março de 2026.
Correções e recomendações
As vulnerabilidades exploradas pelo DarkSword foram reportadas à Apple no final de 2025. Todas as seis falhas foram corrigidas, a maioria antes do lançamento do iOS 26.3 e o restante junto com a atualização. O Google também incluiu os domínios utilizados nos ataques em seu sistema Safe Browsing.
Especialistas recomendam que usuários atualizem seus dispositivos para a versão mais recente do sistema operacional. Para aqueles que ainda não têm acesso às atualizações, a ativação do Modo de Bloqueio é indicada como uma medida adicional de proteção contra esse tipo de ameaça.
(Com informações de Tecmundo)
(Foto: Reprodução/Freepik)
