Um kit de crimioso para iOS está sendo usado por fornecedores de soluções de vigilância comercial e cibercriminosos ligados a governos. Os alvos são dados pessoais de usuários de iPhone.
O DarkSword é um kit de exploração de cadeia completa para iOS. Ele encadeia seis vulnerabilidades distintas, quatro das quais foram exploradas como falhas zero-day – ou seja, que não tinham sido identificadas por profissionais de segurança. O objetivo é obter o comprometimento total de dispositivos em iPhones com versões do iOS de 18.4 a 18.7.
A cadeia de exploração opera inteiramente em JavaScript, o que permite que os invasores contornem as medidas de mitigação da Apple. Isso inclui a Page Protection Layer (PPL) e o Secure Page Table Monitor (SPTM), que impediriam a execução de código binário nativo não assinado.
O nome da cadeia de exploração foi identificado pelo grupo de Inteligência de Ameaças do Google (GTIG), pela iVerify e pela Lookout, com base em marcas de ferramentas encontradas nas cargas úteis analisadas. As empresas de cibersegurança confirmaram o uso desse kit em campanhas direcionadas contra vítimas na Arábia Saudita, Turquia, Malásia e Ucrânia.
Cadeia de exploração de seis vulnerabilidades no iOS
A cadeia de seis vulnerabilidades começa com a exploração de execução remota de código (RCE) direcionada ao JavaScriptCore. Esse é o mecanismo JavaScript da Apple usado no Safari e no WebKit.
A cadeia então avança por duas etapas de fuga da sandbox, uma escalada de privilégios local e uma implantação final de carga útil. Isso é necessário para que os invasores tenham privilégios completos no nível do kernel.
A falha conhecida como CVE-2026-20700 é uma omissão do Código de Autenticação de Ponteiro (PAC) no vinculador dinâmico dyld da Apple. A vulnerabilidade foi encadeada diretamente com ambas as explorações de RCE e corrigido apenas no iOS 26.3 após o GTIG ter relatado o problema à Apple.
Três famílias de malware se beneficiaram dos ataques
O Google identificou três famílias distintas de malware de pós-exploração implantadas após um ataque bem-sucedido do DarkSword. Cada uma adaptada às necessidades específicas de um determinado agente de ameaças.
O GHOSTKNIFE é implantado pelo grupo UNC6748 por meio de um site de phishing com tema do Snapchat (snapshare[.]chat). Ele é um backdoor em JavaScript capaz de extrair contas conectadas, mensagens, dados do navegador, histórico de localização e gravações de áudio do microfone.
Ele se comunica com seu servidor de comando e controle (C2) por meio de um protocolo binário personalizado criptografado com ECDH e AES, e exclui ativamente os logs de falhas do dispositivo para dificultar a detecção forense.
Já o GHOSTSABER, implantado pela empresa turca de vigilância comercial PARS Defense em campanhas direcionadas à Turquia e à Malásia, suporta mais de 15 comandos C2. Isso inclui enumeração de dispositivos, exfiltração de arquivos, execução de consultas SQLite arbitrárias e uploads de miniaturas de fotos.
Alguns comandos, como gravação de áudio e geolocalização em tempo real, ainda não estão totalmente implementados no JavaScript. Isso sugere que módulos binários adicionais são baixados em tempo de execução diretamente do servidor C2.
O terceiro malware, o GHOSTBLADE, é atribuído ao suposto agente de espionagem russo UNC6353 e funciona como um minerador de dados abrangente.
Ele exfiltra mensagens do iMessage, Telegram e WhatsApp, dados de carteiras de criptomoedas, histórico e cookies do Safari. Além disso, ele também verifica bancos de dados de saúde, chaves de dispositivo, histórico de localização e senhas de Wi-Fi salvas.
Ao contrário das outras duas famílias, o GHOSTBLADE não opera de forma persistente nem suporta comandos interativos de backdoor. No entanto, a amplitude de sua coleta de dados o torna altamente valioso para operações de inteligência.
Chama a atenção uma referência no código da biblioteca a uma função chamada startSandworm(), ainda sem implementação, possivelmente o codinome de um exploit separado ainda por vir.
Métodos de distribuição do DarkSword
Cada agente de ameaças adotou uma abordagem própria para distribuir o DarkSword. O UNC6748 utilizou um site fraudulento imitando o Snapchat, com carregadores JavaScript ofuscados, proteções anti-depuração e impressão digital de armazenamento de sessão para evitar reinfestar as mesmas vítimas.
O PARS Defense criptografou as etapas do exploit por meio de troca de chaves ECDH entre sua infraestrutura e o dispositivo da vítima. O que demonstra maior maturidade em segurança operacional.
O UNC6353, por sua vez, inseriu tags <script> maliciosas em sites ucranianos comprometidos, carregando o DarkSword silenciosamente por meio de iFrames ocultos.
Um comentário no código-fonte escrito em russo reforça a atribuição ao grupo, que já havia sido associado anteriormente ao kit de exploração Coruna para iOS. O GTIG segue trabalhando com o CERT-UA para conter essa campanha, que permanecia ativa até março de 2026.
Correções e recomendações
O GTIG reportou todas as vulnerabilidades do DarkSword à Apple no final de 2025. As seis CVEs foram corrigidas, a maioria antes do lançamento do iOS 26.3 e o restante junto com ele. O Google também adicionou todos os domínios de distribuição identificados ao Safe Browsing.
Recomenda-se fortemente que os usuários atualizem para a versão mais recente do iOS. Para quem ainda não tem atualizações disponíveis, ativar o Modo de Bloqueio é uma medida adicional eficaz contra esse tipo de exploração.
Acompanhe o TecMundo nas redes sociais. Para mais notícias de segurança e tecnologia, inscreva-se em nossa newsletter e canal do YouTube.
