Сотні мільйонів користувачів Apple опинилися під загрозою потенційного викрадення інформації через програмний експлойт DarkSword, який націлений на iPhone, що досі працюють на версіях iOS від 18.4 до 18.6.2. В Україні один із сайтів, який перенаправляє на шкідливий код, має домен "gov.ua", що означає, що зловмисники змогли зламати сервер українського уряду. Про це повідомляють експерти iVerify та Lookout, передає УНН.
Деталі
Як зазначають дослідники iVerify, що вони виявили повноланцюговий експлойт (комп'ютерна програма, фрагмент програмного коду або послідовність команд, які використовують вразливості в програмному забезпеченні та призначені для атак на обчислювальну систему – ред.) iOS для повної компрометації пристроїв.
За даними дослідників, експлойт називається DarkSword і націлений, зокрема, на iPhone, що досі працюють на версіях iOS від 18.4 до 18.6.2.
Ці версії, випущені у 2025 році, досі працюють на 270 мільйонах пристроїв. Атаку було виявлено завдяки підозрілій URL-адресі, розміщеній на тій самій інфраструктурі, яку зловмисник з росії використовував під час першої відомої атаки Corona проти України, оголошеної 3 березня 2026 року. Примітно, що один із сайтів, що перенаправляє на шкідливе корисне навантаження, має адресу ".gov.ua", а це означає, що зловмиснику вдалося скомпрометувати сервер українського уряду
– йдеться у дослідженні.
Експерти зазначили, що вони співпрацювали з CERT-UA – команда реагування на кіберінциденти, кібератаки, кіберзагрози, яка функціонує в складі Державної служби спеціального зв’язку та захисту інформації України.
Зазначається, що DarkSword, повністю написаний на JavaScript, містить шість вразливостей у двох ланцюжках експлойтів, які були виправлені поетапно, починаючи з iOS 26.3. Починаючи з WebKit і рухаючись вниз до ядра, він досягає повного зламу iPhone за допомогою методів, яких раніше ніколи не було публічно.
Хакери зламали 14 тис. роутерів по всьому світу та перетворили їх на величезну мережу ботів14.03.26, 14:00 • 13168 переглядiв
На відміну від Coruna, яка, здавалося, була спрямована переважно на крадіжку криптовалюти, DarkSword, схоже, є інструментом спостереження та збору розвідувальних даних, який витягує повні дані, включаючи паролі Wi-Fi, текстові повідомлення, історію дзвінків, історію місцезнаходження root, історію браузера, дані SIM-картки та стільникового зв'язку, а також бази даних здоров'я, нотаток та календаря, хоча він також шукає криптогаманці
– зазначають експерти.
Також експерти наголошують, що російський зловмисник, який розгорнув DarkSword, має дуже низьку операційну безпеку. Він залишив повний код JavaScript незашифрованим, незахищеним та легкодоступним. Ця недбалість, разом із недбалістю китайської злочинної групи, яка використовувала Coruna, призвела до того, що обидві атаки зрештою були викриті. Експлойти DarkSword та Coruna легко перепрофілювати та розгорнути, що робить дуже ймовірним, що більше та, можливо, модифікованих розгортань шпигунського програмного забезпечення DarkSword та Coruna активно заражають користувачів iOS.
Враховуючи, що код сервера інфільтрації містив коментарі російською мовою, а база коду експлойту містила оригінальні назви змінних та інструкції з розгортання англійською мовою, оператор і розробник, ймовірно, є різними особами, що свідчить про незалежне отримання ланцюжка експлойтів. У поєднанні з низькою операційною безпекою це говорить про кілька різних можливостей. По-перше, зловмисник не хвилюється про те, що його спіймають, оскільки існує мало інструментів для фактичного виявлення цих атак на iOS. По-друге, запас експлойтів для iOS настільки великий, що зловмисник не хвилюється про те, щоб його спалити. По-третє, зловмисник не усвідомлює цінності експлойту
– додають експерти.
Укренерго попереджає про розсилку шкідливого програмного забезпечення під виглядом графіків відключень27.02.26, 21:11 • 4574 перегляди
Експерти Lookout зазначають, що DarkSword, схоже, використовує підхід "вдарив і втік", збираючи та витягуючи цільові дані з пристрою протягом секунд або максимум хвилин з подальшим очищенням.
Ланцюжки експлойтів, подібні до того, що використовується в DarkSword, дозволяють зловмисникам отримати повний доступ до пристрою користувача практично без жодних дій з його боку. Ці складні та надзвичайно дорогі набори експлойтів часто вважаються технологіями, доступними лише державним організаціям та компаніям, які створюють інструменти для правоохоронних органів та розвідувальних служб. Відкриття DarkSword та попереднього Coruna доводять, що існує ринок вторинних продуктів для таких експлойтів, який дозволяє групам з обмеженішими ресурсами та мотивами, окрім цілеспрямованого шпигунства, отримувати першокласні експлойти та використовувати їх проти користувачів мобільних пристроїв. Оскільки мобільні пристрої мають доступ до всього, від фінансових рахунків до корпоративних даних, це відкриття ще раз підкреслює необхідність їх захисту від найширшого спектру можливих векторів атак
– зазначають експерти.
Експерти виявили нове шпигунське ПЗ для iPhone, яке може вражати мільйони пристроїв19.03.26, 02:00 • 16534 перегляди
