Si tratta di una tecnica avanzata in grado di compromettere i dispositivi Apple semplicemente attraverso la navigazione su pagine web compromesse, con l’obiettivo di sottrarre dati personali in pochi minuti.

Gli esperti di cybersicurezza tornano a lanciare un allarme sugli iPhone, questa volta per una nuova campagna di attacchi battezzata “DarkSword”. Secondo un’indagine congiunta di Google, Lookout e iVerify, si tratta di una tecnica avanzata in grado di compromettere i dispositivi Apple semplicemente attraverso la navigazione su pagine web compromesse, con l’obiettivo di sottrarre dati personali in pochi minuti.

Come funziona DarkSword

Nel dettaglio, gli attacchi prendono di mira specifiche versioni del sistema operativo Apple, in particolare iOS comprese tra la 18.4 e la 18.6.2. La caratteristica più rilevante è la natura “mordi e fuggi” dell’operazione: una volta sfruttata la vulnerabilità, gli attaccanti riescono ad accedere rapidamente a informazioni sensibili – tra cui messaggi, email e cronologia delle posizioni – e a esfiltrarle quasi in tempo reale, senza lasciare tracce evidenti sul dispositivo.

Safari il vettore principale

Il vettore principale è il browser Safari. Gli hacker sfruttano una componente grafica relativamente recente, WebGPU, per aggirare le difese di sicurezza integrate in iOS. Questo consente l’esecuzione di codice malevolo direttamente all’interno della sessione di navigazione. Una volta completata l’operazione, il malware non rimane installato in modo persistente: le tracce vengono cancellate, rendendo l’attacco difficile da rilevare anche per strumenti di analisi forense.

La portata potenziale è significativa. Secondo i dati diffusi da iVerify, circa il 14% degli utenti iPhone – pari a oltre 221 milioni di dispositivi – utilizza versioni di iOS considerate vulnerabili. Il numero potrebbe salire fino a 270 milioni se si includessero ulteriori versioni del sistema operativo non ancora completamente analizzate.

La Russia dietro la minaccia?

Dal punto di vista dell’attribuzione, i ricercatori indicano un possibile coinvolgimento del gruppo UNC6353, già individuato da Google e ritenuto vicino a interessi statali russi. Lookout evidenzia come attività riconducibili a questo attore, e ad altri gruppi simili, siano state osservate in diversi Paesi, tra cui Arabia Saudita, Turchia, Malaysia e Ucraina.

Proprio in Ucraina è stata documentata una delle modalità operative più efficaci: la compromissione di siti web legittimi, inclusi portali informativi e istituzionali. Attraverso l’inserimento di script malevoli nelle pagine, gli attaccanti hanno trasformato questi siti in veri e propri punti di infezione. È sufficiente che l’utente visiti la pagina per attivare la catena di exploit, senza necessità di ulteriori azioni.

Secondo gli analisti, DarkSword rappresenta un’evoluzione nel panorama delle minacce mobile. Strumenti di questo livello non sono più appannaggio esclusivo di operazioni governative di alto profilo, ma stanno progressivamente entrando nella disponibilità di gruppi orientati al profitto.

Il rischio, quindi, non riguarda più soltanto target selezionati, ma una platea molto più ampia di utenti. In questo contesto, l’aggiornamento tempestivo del sistema operativo resta la principale misura di difesa, insieme a una maggiore attenzione nella navigazione su siti potenzialmente compromessi.

Vai al sito di Cybersecurity Italia.

L'articolo Allarme di sicurezza per gli iPhone, scoperta la minaccia DarkSword. La Russia dietro gli attacchi? sembra essere il primo su CyberSecurity Italia.