Mobile, Notizie

Una "DarkSword" incombe sugli iPhone non aggiornati

di Pieter Arntz | 19 marzo 2026
DarkSword iOS

I ricercatori di Google hanno individuato una catena iOS , denominata DarkSword, che dalla fine dello scorso anno è stata utilizzata da diversi soggetti per infettare gli iPhone con malware nell’ambito di attacchi mirati.

DarkSword sfrutta sei vulnerabilità presenti in iOS Safari per installare malware sul dispositivo. Ciò dimostra, ancora una volta, quanto sia importante tenersi aggiornati.

La vulnerabilità riguarda gli iPhone con iOS comprese tra la 18.4 e la 18.7, e basta semplicemente visitare un sito web dannoso o compromesso con un dispositivo vulnerabile per essere infettati (un attacco drive-by).

I ricercatori hanno scoperto che diversi gruppi stanno utilizzando questo strumento per attaccare i propri obiettivi preferiti. DarkSword è stato impiegato sia da fornitori commerciali di spyware che da attori sostenuti dallo Stato, con campagne rilevate in Arabia Saudita, Turchia, Malesia e Ucraina.

In Arabia Saudita, gli hacker hanno utilizzato un'applicazione simile a Snapchat. In Ucraina, gli hacker hanno compromesso almeno due siti web ucraini, tra cui un sito governativo.

Una volta che l'exploit ha avuto successo, sul dispositivo viene eseguito un malware. Il tipo di malware dipende dall'autore dell'attacco. Nella campagna ucraina, tale malware è noto come Ghostblade, un esempio di payload distribuito tramite la catena di exploit DarkSword.

Ghostblade è un programma di furto di dati basato su JavaScript che sottrae identificatori univoci dei dispositivi, messaggi SMS e iMessage, cronologia delle chiamate, contatti, configurazione Wi-Fi e password, cookie e cronologia di navigazione di Safari, dati di localizzazione, note, voci del calendario, dati sanitari, foto, file di iCloud Drive, informazioni sulla SIM, e-mail, un elenco delle app installate, password salvate e la cronologia dei messaggi di Telegram e WhatsApp.

Oltre a ciò, Ghostblade si distingue perché prende di mira anche i dati relativi alle criptovalute, cercando attivamente le app dei principali exchange (Coinbase, Binance, Kraken, Kucoin, OKX, Mexc) e le app di portafogli (Ledger, Trezor, Metamask, Exodus, Uniswap, Phantom, Gnosis Safe). I ricercatori osservano che Ghostblade non è progettato per la sorveglianza a lungo termine: una volta raccolti i dati, elimina i propri file temporanei e si disattiva.

I rischi

I dispositivi vulnerabili possono essere infettati semplicemente visitando quel sito web dannoso o compromesso. E le conseguenze possono essere gravi. DarkSword trasforma una singola visita al sito web in una compromissione totale del dispositivo, seguita da Ghostblade che sottrae quanti più dati possibile in un colpo solo.

  • Furto di dati: Ghostblade e i relativi payload sono in grado di intercettare comunicazioni (SMS, iMessage, Telegram, WhatsApp, e-mail), foto, dati sanitari, cronologia delle posizioni, credenziali Wi-Fi, elementi del portachiavi e altro ancora con un'unica operazione.
  • Furti di criptovalute e profilazione: il malware individua specifiche app di exchange e portafogli, consentendo sia il furto diretto sia l'utilizzo delle informazioni rubate da parte dei criminali per creare un profilo dettagliato di obiettivi finanziariamente interessanti.
  • Evasione forense: poiché Ghostblade cancella le proprie tracce dopo aver sottratto tutte le informazioni, può passare molto tempo prima che le vittime si rendano conto che qualcosa non va. Molte vittime potrebbero non scoprire mai di essere state compromesse.

Poiché lo stesso kit di exploit viene riutilizzato sia dalle aziende di sorveglianza commerciali che da attori legati allo Stato, il numero di campagne e di vittime è destinato ad aumentare nel tempo.

Le soluzioni

Esegui l'aggiornamento all'ultima versione iOS per il tuo dispositivo. DarkSword può interessare iOS dalla 18.4 alla 18.7, e le recenti versioni rilasciate da Apple includono correzioni per CVE-2026-20700 e le vulnerabilità correlate.

Se hai motivo di ritenere di essere un potenziale bersaglio di attacchi di questo tipo (giornalisti, attivisti o persone che hanno accesso a dati sensibili), è consigliabile attivarela modalità di blocco:

  1. Apri l'app Impostazioni.
  2. Tocca " Privacy sicurezza".
  3. Scorri verso il basso, tocca " Modalità di blocco", quindi tocca "Attiva modalità di blocco".
  4. Leggi le informazioni fornite e tocca "Attiva modalità di blocco".
  5. Tocca "Attiva e riavvia".
  6. Inserisci il codice di accesso del dispositivo quando richiesto.

Ti invitiamo a informarti sulle conseguenze dell'attivazione della modalità di blocco. Questa rende il tuo dispositivo molto meno intuitivo, ma si è dimostrata efficace contro gli attacchi altamente mirati.

Ecco alcuni consigli generali:

  • Utilizza una protezione anti-malware aggiornata e in tempo reale per il tuo dispositivo, in modo da bloccare, ove possibile, i siti web dannosi.
  • Evita di cliccare sui link contenuti nei messaggi indesiderati, in particolare se riguardano servizi come Snapchat, piattaforme di scambio di criptovalute, operazioni bancarie o e-mail.
  • Utilizza i blocchi dei contenuti (ad esempio Malwarebytes Browser Guard) in Safari per ridurre l'esposizione a contenuti dannosi (anche se non sono una soluzione miracolosa per gli attacchi zero-day).
  • Trasferisci le criptovalute di alto valore su portafogli hardware o dispositivi dedicati e utilizza i portafogli mobili solo per importi minori.
  • Utilizza un gestore di password conautenticazione avanzata, attiva impostazioni di sicurezza aggiuntive come Face ID/Touch ID ed evita la compilazione automatica delle credenziali ad alto rischio.
  • Attival'autenticazione a più fattori (chiavi di sicurezza FIDO2 o autenticazione a due fattori tramite app) sugli exchange e sui conti finanziari, in modo che le password rubate da sole non siano sufficienti per saccheggiare i tuoi conti.
  • Controlla regolarmente le autorizzazioni delle app e revoca l'accesso ai dati sensibili (posizione, foto, contatti, microfono, fotocamera, dati sanitari) qualora non siano necessari.

Non ci limitiamo a fornire informazioni sulla sicurezza del telefono, ma le forniamo.

I rischi per la sicurezza informatica non dovrebbero mai diffondersi al di là di un titolo di giornale. Tenete le minacce lontane dai vostri dispositivi mobili scaricando oggi stesso Malwarebytes per iOS e Malwarebytes per Android.

Informazioni sull'autore

Pieter Arntz

Pieter Arntz

Ricercatore nel campo della sicurezza informatica

È stato un MVP Microsoft per la sicurezza dei consumatori per 12 anni consecutivi. Sa parlare quattro lingue. Profuma di mogano e di libri rilegati in pelle.

ULTIMI ARTICOLI

Privacy
Truffe fiscali sul dark web

I tuoi moduli fiscali vengono venduti a 20 dollari sul dark web

Marzo 19, 2026

Il periodo delle dichiarazioni dei redditi è anche il periodo di punta per i furti di identità. Malwarebytes hanno scoperto che alcuni criminali scambiano dati fiscali rubati sui forum del dark web.

AI
Nascosto

I ricercatori hanno scoperto un trucco di rendering dei caratteri per nascondere comandi dannosi

Marzo 18, 2026

I ricercatori hanno scoperto un modo per indurre gli assistenti di intelligenza artificiale a ignorare le avvertenze di sicurezza presenti su un sito web.

Insetti
Mela

Apple risolve un bug di WebKit che avrebbe potuto consentire ai siti web di accedere ai tuoi dati

Marzo 18, 2026

Apple ha rilasciato un aggiornamento di sicurezza in background che risolve in modo silenzioso una vulnerabilità di WebKit (CVE-2026-20643).

Icona dei collaboratori

Contribuenti

Icona del Centro per le minacce

Centro delle minacce

Icona Podcast

Podcast

Icona del glossario

Glossario

Icona delle truffe

Truffe