DarkSword — Sucessor do Coruna

O kit de exploração Coruna, descoberto no início de março e visando iPads e iPhones executando iOS 13–17.2.1, agora tem um sucessor — DarkSword.

Em 18 de março, depois que a Apple corrigiu as CVEs exploradas pelo Coruna (em 13 de março) e o kit já havia se espalhado pela web, pesquisadores do Lookout Threat Labs identificaram um novo kit de exploração iOS chamado DarkSword.

Como o Coruna, o DarkSword é usado para roubar uma ampla gama de dados pessoais, incluindo senhas salvas, fotos, dados do WhatsApp e Telegram, carteiras de criptomoedas, mensagens SMS, contatos, localização, histórico do navegador, cookies e muito mais.

O DarkSword visa iPhones executando iOS 18.4–18.7 e está ligado aos operadores do Coruna e ao grupo UNC6353. De acordo com um relatório da iVerify, todas as vulnerabilidades exploradas pelo DarkSword, incluindo use-after-free, escrita fora dos limites, falhas de kernel copy-on-write e bugs de escalonamento de privilégio de kernel, são conhecidas e já foram corrigidas pela Apple nas versões mais recentes do iOS.

Os ataques do DarkSword são acionados no navegador Safari, onde o kit de exploração concede aos operadores acesso de leitura/gravação do kernel e então executa código via componente orquestrador principal (pe_main.js). O orquestrador injeta um mecanismo JavaScript em serviços privilegiados do iOS, como App Access, Wi-Fi, Springboard, Keychain e iCloud, e então ativa módulos para roubo de dados.

💬 Discutir