;Resize,width=767;)
DarkSword è il nome dato da un gruppo di ricercatori di sicurezza informatica a un nuovo malware progettato per colpire gli iPhone, con l’obiettivo principale di sottrarre informazioni personali e, potenzialmente, anche criptovalute. Le analisi condotte dagli esperti del Google Threat Intelligence Group e di aziende di sicurezza, come Lookout e iVerify, indicano che questi attacchi sono stati osservati in Ucraina e sarebbero riconducibili a un gruppo identificato come UNC6353, sospettato di operare in linea con interessi governativi russi. A differenza di altre campagne malevole, DarkSword si distingue per la sua rapidità operativa: infetta il dispositivo, raccoglie dati e si auto-elimina in tempi molto brevi. Questo elemento suggerisce un approccio mirato all’acquisizione rapida di informazioni piuttosto che a una sorveglianza continuativa dei soggetti colpiti.
La scoperta di questo toolkit, insieme a strumenti scoperti recentemente (come Coruna), contribuisce a ridefinire la percezione della sicurezza degli iPhone, o meglio, evidenzia come anche sistemi altamente protetti possano essere vulnerabili ad attacchi mirati e sofisticati. In questo articolo analizziamo un po' più da vicino come funziona DarkSword, quali dati può compromettere e, soprattutto, quali strategie possiamo adottare per ridurre i rischi di attacco.
Come fa il malware DarkSword a infettare gli iPhone e rubare dati
Le indagini indicano che DarkSword è stato distribuito attraverso siti Web ucraini compromessi. Questo tipo di attacco è noto come “watering hole”, una tecnica in cui i criminali informatici colpiscono luoghi digitali frequentati dalle vittime invece di attaccare direttamente soggetti specifici. In questo caso, chi visitava determinati siti dall’interno dell'Ucraina poteva essere infettato senza interazioni evidenti.
Una volta attivo, DarkSword raccoglie una vasta gamma di informazioni e dati: password, contenuti multimediali, cronologia di navigazione e messaggi provenienti da applicazioni popolari, come WhatsApp, Telegram e anche i semplici SMS. Una peculiarità di questo malware è la sua breve permanenza sui dispositivi colpiti dovuta alla rapidità di esecuzione di cui è dotato. Secondo i ricercatori di Lookout «il tempo di permanenza di Darksword sul dispositivo è probabilmente nell'ordine dei minuti, a seconda della quantità di dati che scopre ed esfiltra».
Questa caratteristica suggerisce un modello operativo “hit-and-run”, ovvero un attacco rapido e non persistente. Diversamente dagli spyware tradizionali, che restano nascosti per lunghi periodi monitorando costantemente l'utente, DarkSword sembra progettato per operazioni mirate e temporanee. Secondo alcune interpretazioni, questo approccio potrebbe essere sufficiente per ricostruire abitudini e comportamenti delle vittime, senza la necessità di un controllo continuo.
Un elemento peculiare è la capacità del malware di accedere anche ai crypto-wallet. Questo aspetto è meno tipico per gruppi associati ad attività malevole ideate da governi (in questo caso quello russo), dove l'obiettivo principale è solitamente lo spionaggio. Gli esperti, però, sottolineano che non esistono prove concrete che gli attacchi siano stati effettivamente utilizzati per sottrarre criptovalute: si tratta piuttosto di una funzionalità potenziale.
Dal punto di vista tecnico, DarkSword è stato sviluppato con un'architettura modulare. Cosa significa? Per dirla in termini spiccioli, questo significa che il software malevolo è composto da diversi componenti indipendenti, che possono essere aggiornati o sostituiti facilmente. Una struttura di questo tipo rende il malware più flessibile e adattabile, consentendo agli sviluppatori di introdurre nuove funzionalità senza riscrivere l'intero codice del software.
La scoperta di DarkSword arriva a pochi giorni di distanza dalla scoperta di un altro toolkit per iPhone, chiamato Coruna, inizialmente sviluppato per uso governativo e successivamente riutilizzato da diversi attori malevoli. La presenza di strumenti simili suggerisce che esista un ecosistema di sviluppo e commercio di tecnologie di hacking avanzate, in cui le stesse soluzioni possono essere riutilizzate da soggetti diversi.
Come proteggersi dal malware che minaccia iOS
Gli esperti di sicurezza di Lookout, riguardo alla pericolosità del malware protagonista dell’articolo, osservano:
L'uso da parte di DarkSword di exploit che colpiscono le versioni più recenti di iOS, con alcune delle rispettive vulnerabilità corrette nel 2026, riduce ulteriormente il divario con le attuali versioni di iOS e potrebbe potenzialmente colpire centinaia di milioni di dispositivi. Ciò sottolinea ulteriormente l'importanza di aggiornare più rapidamente i dispositivi mobili e di sostituire i modelli di dispositivi iOS più vecchi nelle flotte mobili delle organizzazioni.
Una delle misure di sicurezza più importanti da intraprendere per ridurre, per quanto possibile, le probabilità di incappare in attacchi informatici di questo tipo è aggiornare iOS all'ultima versione disponibile. Altra mossa fondamentale consiste nell'evitare siti non affidabili o sconosciuti, soprattutto se provenienti da link ricevuti da sconosciuti tramite messaggi o e-mail. Come spiegato, infatti, l'attacco viene propagato tramite siti Web infetti.
;Resize,width=578;)
;Resize,width=767;)
;Resize,width=727;)
;Resize,width=727;)
;Resize,width=727;)
