Uma DarkSword paira sobre iPhones sem patch

Pesquisadores O Google identificou uma cadeia de exploração do iOS, chamada DarkSword, que tem sido usada desde o final do ano passado por vários atores para infectar iPhones com malware em ataques direcionados.

DarkSword combina seis vulnerabilidades no iOS e Safari para implantar malware no dispositivo. Isso demonstra, mais uma vez, como é importante acompanhar as atualizações.

A exploração funciona em iPhones que executam as versões 18.4 a 18.7 do iOS, e simplesmente visitar um site malicioso ou comprometido com um dispositivo vulnerável pode ser suficiente para ser infectado (um ataque drive-by).

Os pesquisadores descobriram que vários grupos estão usando a ferramenta para atacar seus alvos preferidos. O DarkSword tem sido usado tanto por fornecedores comerciais de spyware como por atores apoiados pelo Estado, com campanhas observadas na Arábia Saudita, Turquia, Malásia e Ucrânia.

Na Arábia Saudita, os invasores usaram um falso sósia do Snapchat. Na Ucrânia, os invasores comprometeram pelo menos dois sites ucranianos, incluindo um site governamental.

Após a exploração bem-sucedida, o malware é executado no dispositivo. O tipo de malware depende do invasor. Na campanha ucraniana, esse malware é conhecido como Ghostblade, um exemplo de carga entregue por meio da cadeia de exploração DarkSword.

Ghostblade é um ladrão de dados baseado em JavaScript que exfiltra identificadores exclusivos de dispositivos, mensagens SMS e iMessage, histórico de chamadas, contatos, configuração e senhas de Wi-Fi, cookies do Safari e histórico de navegação, dados de localização, notas, entradas de calendário, dados de saúde, fotos, arquivos do iCloud Drive, informações do SIM, e-mails, uma lista de aplicativos instalados, senhas salvas e o histórico de mensagens do Telegram e do WhatsApp.

Além disso, o Ghostblade se destaca porque também tem como alvo dados relacionados a criptomoedas, buscando ativamente aplicativos para as principais exchanges (Coinbase, Binance, Kraken, Kucoin, OKX, Mexc) e aplicativos de carteira (Ledger, Trezor, Metamask, Exodus, Uniswap, Phantom, Gnosis Safe). Os pesquisadores observam que o Ghostblade não foi desenvolvido para vigilância de longo prazo: depois de coletar os dados, ele exclui seus arquivos temporários e se encerra.

Os riscos

Dispositivos vulneráveis ​​podem ser infectados apenas visitando aquele site malicioso ou comprometido. E as consequências podem ser graves. DarkSword transforma uma única visita ao site em comprometimento total do dispositivo, seguida pelo Ghostblade extraindo o máximo de dados possível de uma só vez.

• Roubo de dados: Ghostblade e cargas relacionadas podem capturar comunicações (SMS, iMessage, Telegram, WhatsApp, e-mail), fotos, dados de saúde, histórico de localização, credenciais de Wi-Fi, itens de chaveiro e muito mais em uma única varredura.

• Roubo de criptografia e criação de perfis: o malware enumera aplicativos específicos de troca e carteira, o que permite o roubo direto e permite que os criminosos usem as informações roubadas para construir um perfil detalhado de alvos financeiramente interessantes.

• Evasão forense: Como o Ghostblade apaga seus próprios rastros depois de roubar todas essas informações, pode levar muito tempo até que as vítimas descubram que algo está errado. Muitas vítimas podem nunca saber que foram comprometidas.

Uma vez que o mesmo kit de exploração está a ser reutilizado por empresas de vigilância comercial e intervenientes alinhados com o Estado, o número de campanhas e de vítimas aumentará ao longo do tempo.

As soluções

Atualize para o iOS mais recente disponível para o seu dispositivo. DarkSword pode afetar as versões 18.4 a 18.7 do iOS, e os lançamentos recentes da Apple incluem correções para CVE‑2026‑20700 e vulnerabilidades relacionadas.

Se você tiver motivos para acreditar que é um alvo potencial de ataques desta natureza (jornalistas, ativistas ou pessoas que tenham acesso a dados confidenciais), é aconselhável ativar Modo de bloqueio:

1. Abra o Configurações aplicativo.
2. Tocar Privacidade e segurança.
3. Role para baixo, toque em Modo de bloqueioe toque em Ativar modo de bloqueio.
4. Leia as informações apresentadas e toque em Ative o modo de bloqueio.
5. Tocar Ligue e reinicie.
6. Digite a senha do seu dispositivo quando solicitado.

Informe-se sobre as consequências de ativar o modo Lockdown. Isso torna seu dispositivo muito menos fácil de usar, mas tem comprovado eficaz contra ataques altamente direcionados.

Aqui estão algumas dicas mais gerais:

• Use proteção antimalware atualizada e em tempo real para o seu dispositivo para bloquear sites maliciosos sempre que possível.
• Evite seguir links enviados em mensagens não solicitadas, especialmente para serviços como Snapchat, trocas de criptografia, serviços bancários ou e-mail.
• Use bloqueadores de conteúdo (por exemplo Protetor de navegador Malwarebytes) no Safari para reduzir a exposição a conteúdo malicioso (embora não sejam uma solução milagrosa para o dia zero).
• Mova ativos criptográficos de alto valor para carteiras de hardware ou dispositivos dedicados e use carteiras móveis apenas para quantias menores.
• Use um gerenciador de senhas com autenticação forte e ative configurações de segurança extras, como Face ID/Touch ID, e evite o preenchimento automático de credenciais de alto risco.
• Habilite a autenticação multifator (chaves de segurança FIDO2 ou 2FA baseado em aplicativo) em exchanges e contas financeiras, para que as senhas roubadas por si só não sejam suficientes para saquear suas contas.
• Revise regularmente as permissões do aplicativo e revogue o acesso a dados confidenciais (localização, fotos, contatos, microfone, câmera, saúde) e revogue quando desnecessário.

Não informamos apenas sobre a segurança do telefone: nós a fornecemos

Os riscos de cibersegurança nunca devem ultrapassar as manchetes. Mantenha as ameaças longe de seus dispositivos móveis baixando o Malwarebytes para iOS e o Malwarebytes para Android hoje mesmo.