Вредоносное ПО DarkSword на iOS охотится за криптоприложениями

Как сообщили исследователи Google, с ноября 2025 года хакеры используют мощный инструмент для взлома iPhone под названием DarkSword, который позволяет получать доступ к устройствам через неизвестные уязвимости iOS.

В новом выпуске мы расскажем, как устроен инструмент DarkSword и за счет чего ему удается обходить защиту iOS? А также какие шаги помогут обезопасить iPhone от взлома.

Как работает DarkSword

DarkSword — это сложный эксплойт-набор, который объединяет сразу несколько уязвимостей iOS и позволяет злоумышленникам полностью взять устройство под контроль.

Хронология наблюдений DarkSword и исправлений уязвимостей. Источник: Google

В отличие от ранее обнаруженного комплекса Coruna, содержащего десятки эксплойтов, DarkSword использует шесть ключевых уязвимостей. Среди них:

• три ошибки в WebKit — движке браузера Safari;

• две уязвимости в ядре iOS;

• одна — в системном компоненте Dynamic Link Editor.

Атака начинается незаметно, пользователь просто открывает зараженный сайт. В него встроен скрытый iframe, который запускает вредоносный код. Далее эксплойт выходит за пределы защитной «песочницы» браузера, получает доступ к системе и фактически открывает злоумышленникам путь к управлению устройством.

После этого запускается основной скрипт, который собирает данные: пароли, файлы, ключи шифрования и другую чувствительную информацию. Все это временно сохраняется на устройстве и затем отправляется на сервер атакующих.

Цепочка заражения DarkSword. Источник: Google

Стоит отметить, что компания Apple уже выпустила обновления, закрывающие ряд критических уязвимостей: уязвимость CVE-2025-31277 в компоненте WebKit была устранена в версии iOS 18.6, ее выявили в июле 2025 года.

Позднее, в ноябре 2025 года, были исправлены еще две проблемы в ядре системы — CVE-2025-43510 и CVE-2025-43520. Они были закрыты с выходом iOS 26.1 и iOS 18.7.2.

В декабре 2025 года, после сообщений о целенаправленных атаках с использованием уязвимостей в реальных условиях, Apple устранила еще два бага WebKit — CVE-2025-43529 и CVE-2025-14174. Исправления вошли в версии iOS 26.2 и iOS 18.7.3.

Наконец, в феврале 2026 года была закрыта уязвимость CVE-2026-20700 в компоненте Dynamic Link Editor. Она была устранена в iOS 26.3 после подтверждения того, что ее также можно эксплуатировать на практике.

Кто стоит за атаками и на кого они нацелены

По данным исследователей Google, DarkSword используется сразу несколькими группами. Среди них предполагаемая российская хакерская группа UNC6353, а также клиенты турецкой компании PARS Defense, связанной с технологиями наблюдения.

Интересно, что ранее некоторые из этих игроков уже применяли другой инструмент — Coruna, что говорит о доступе к продвинутым кибершпионским технологиям. Атаки носят точечный характер и направлены на пользователей в разных странах.

В ноябре 2025 года специалисты Google зафиксировали, что группировка UNC6748 начала применять набор эксплойтов DarkSword для атак на пользователей из Саудовской Аравии. Для этого использовался веб-сайт, замаскированный под страницу популярного сервиса Snapchat.

Страница-приманка SnapshareChat. Источник: Google

Позже, в ноябре 2025 года и январе 2026 года, исследователи обнаружили дополнительные подтверждения применения DarkSword еще в двух отдельных кампаниях. Они были связаны с разными клиентами компании PARS Defense и направлены на пользователей в Турции и Малайзии.

Тем временем оператор UNC6353, ранее уже замеченный в использовании эксплойт-набора Coruna, вновь провел атаки, на этот раз против пользователей Украины. В этой операции применялись DarkSword и бэкдор GHOSTBLADE. Последний собирал широкий спектр данных с устройств: сведения о самом устройстве, список установленных приложений, информацию об учетных записях, историю местоположений, фотографии, события календаря, заметки, данные криптовалютных кошельков и аккаунтов, историю браузера Safari и множество других личных данных.

Очевидно, что группа UNC6353 располагает доступом к сложным и дорогим цепочкам эксплойтов для iOS. Предполагается, что такие инструменты могли быть разработаны крупными коммерческими поставщиками программного обеспечения для слежки. При этом часть использованных уязвимостей относилась к категории «нулевого дня», что обычно свидетельствует о серьезных финансовых ресурсах и возможных связях с брокерами эксплойтов, такими как Matrix LLC / Operation Zero.

Также важно обратить внимание на то, что инструменты Coruna и DarkSword способны не только собирать конфиденциальные личные данные, но и похищать криптовалюту. Это означает, что такие атаки могут использоваться как для кибершпионажа, так и для получения финансовой выгоды. При этом пока неясно, была ли кража криптовалют основной целью операций. Не исключено, что злоумышленники преследуют коммерческие интересы.

Как защитить iPhone от взлома

Главный совет — не откладывать обновление системы. Apple уже устранила уязвимости, которые использует DarkSword, в актуальных версиях iOS, включая экстренные патчи для устройств, не поддерживающих iOS 26.

Эксплойты, использованные в DarkSword. Источник: Google

Чтобы снизить риски, пользователям рекомендуется:

• обновиться как минимум до iOS 18.7.6 или iOS 26.3.1 (проверить можно в разделе «Настройки» → «Основные» → «Обновление ПО»);

• не использовать устаревшие версии системы, особенно в диапазоне от iOS 13 до 18.6.2;

• при невозможности обновления включить режим «Блокировка» (Lockdown Mode), который значительно ограничивает потенциальные векторы атак, особенно через браузер.

При этом важно помнить: во многих случаях атака начинается с перехода на вредоносный сайт, поэтому стоит избегать подозрительных ссылок и страниц, даже если они выглядят как знакомые сервисы.

Дисклеймер

Мнения экспертов могут не совпадать с позицией редакции. Traffic Cardinal не дает инвестиционных советов, материал опубликован исключительно в ознакомительных целях.

Еще больше полезных материалов о крипте и инвестициях — в нашем телеграм-канале. Подписывайтесь!