DarkSword is volledig exploitketen en payload voor verouderde iOS-versies
Onderzoekers van Lookout Threat Labs waarschuwen voor DarkSword, een volledige exploitketen en payload voor iPhones met iOS-versies tussen 18.4 en 18.6.2. Deze dreiging is ontwikkeld door dezelfde, waarschijnlijk Russische, dreigingsactor die eerder dit jaar ook verantwoordelijk was voor de Coruna-exploitketen, die door Google en iVerify werd gerapporteerd. Beide aanvallen richtten zich op Oekraïense gebruikers.
Mobiele apparaten vormen steeds vaker het doelwit van geavanceerde cyberaanvallen, waarbij de dreigingsomvang verder reikt dan traditionele malware in apps. Recent onderzoek van Lookout toont aan dat aanvallers gebruikmaken van snelle, gerichte campagnen die binnen seconden of minuten gevoelige gegevens kunnen stelen en financiële schade kunnen aanrichten.
Persoonlijke gegevens stelen
DarkSword is ontworpen om uitgebreide persoonlijke gegevens, waaronder inloggegevens, te extraheren en richt zich specifiek op diverse cryptoportemonnee-apps, wat wijst op een financieel gemotiveerde aanval. Opvallend is dat DarkSword een "hit-and-run"-aanpak hanteert: gegevens worden binnen seconden of minuten verzameld en doorgestuurd, waarna sporen worden gewist.
Dergelijke exploitketens stellen aanvallers in staat om volledige toegang tot een apparaat te verkrijgen, vaak zonder dat de gebruiker hiervoor actie hoeft te ondernemen. Hoewel geavanceerde en kostbare exploits vaak worden geassocieerd met staatsgestuurde actoren of bedrijven die tools ontwikkelen voor inlichtingendiensten, tonen DarkSword en Coruna volgens Lookout aan dat er een tweedehandsmarkt bestaat voor dergelijke exploits. Hierdoor kunnen ook groepen met beperktere middelen en andere motieven dan gerichte spionage toegang krijgen tot hoogwaardige exploits en deze inzetten tegen mobiele gebruikers.
DarkSword is door Lookout-onderzoekers geanalyseerd in samenwerking met Google en iVerify bij het onderzoeken van deze dreiging. Gebruikers van Lookout worden beschermd tegen deze dreiging via de Safe Browsing-functie en Device Compromise Detection. Apparaten met de nieuwste iOS-versies (≧18.7.3 voor iOS 18 en ≧26.3 voor iOS 26) zijn niet vatbaar voor deze dreiging of de gebruikte kwetsbaarheden. Het detecteren van verouderde besturingssystemen stelt beheerders in staat om kwetsbare apparaten in hun netwerk te identificeren. Daarnaast maakt de Web History-feed het mogelijk om apparaten te herkennen die blootgesteld zijn aan of gecompromitteerd door deze dreiging. Meer informatie over DarkSword is hier beschikbaar.
Meer over Security
Over Wouter Hoeffnagel
