Mobilne, Aktualności

Nad nieaktualizowanymi iPhone'ami wisi miecz DarkSword

autor: Pieter Arntz | 19 marca 2026 r.
DarkSword iOS

Naukowcy z Google zidentyfikowali łańcuch iOS , nazwany DarkSword, który od końca ubiegłego roku był wykorzystywany przez wiele podmiotów do infekowania iPhone'ów złośliwym oprogramowaniem w ramach ukierunkowanych ataków.

DarkSword wykorzystuje sześć luk w iOS przeglądarki Safari do zainstalowania złośliwego oprogramowania na urządzeniu. To kolejny dowód na to, jak ważne jest regularne instalowanie aktualizacji.

Luka ta działa na iPhone'ach z iOS od 18.4 do 18.7, a samo wejście na złośliwą lub zainfekowaną stronę internetową przy użyciu podatnego na atak urządzenia może wystarczyć do zainfekowania urządzenia (atak typu „drive-by”).

Naukowcy odkryli, że kilka grup wykorzystuje to narzędzie do ataków na wybrane cele. DarkSword był używany zarówno przez komercyjnych dostawców oprogramowania szpiegującego, jak i podmioty wspierane przez państwa; kampanie z jego wykorzystaniem odnotowano w Arabii Saudyjskiej, Turcji, Malezji i na Ukrainie.

W Arabii Saudyjskiej cyberprzestępcy wykorzystali fałszywą aplikację przypominającą Snapchat. Na Ukrainie cyberprzestępcy przejęli kontrolę nad co najmniej dwiema ukraińskimi stronami internetowymi, w tym jedną rządową.

W przypadku pomyślnego wykorzystania luki złośliwe oprogramowanie zostaje uruchomione na urządzeniu. Rodzaj złośliwego oprogramowania zależy od atakującego. W przypadku kampanii ukraińskiej złośliwe oprogramowanie to znane jest pod nazwą Ghostblade i stanowi jeden z przykładów ładunku dostarczanego za pośrednictwem łańcucha exploitów DarkSword.

Ghostblade to oparty na JavaScript program służący do kradzieży danych, który wykradł unikalne identyfikatory urządzeń, wiadomości SMS i iMessage, historię połączeń, kontakty, ustawienia sieci Wi-Fi i hasła, pliki cookie przeglądarki Safari oraz historię przeglądania, dane dotyczące lokalizacji, notatki, wpisy kalendarza, dane dotyczące zdrowia, zdjęcia, pliki z iCloud Drive, informacje o karcie SIM, wiadomości e-mail, listę zainstalowanych aplikacji, zapisane hasła oraz historię wiadomości z aplikacji Telegram i WhatsApp.

Co więcej, Ghostblade wyróżnia się tym, że atakuje również dane związane z kryptowalutami, aktywnie wyszukując aplikacje głównych giełd (Coinbase, Binance, Kraken, Kucoin, OKX, Mexc) oraz aplikacje portfeli (Ledger, Trezor, Metamask, Exodus, Uniswap, Phantom, Gnosis Safe). Badacze zauważają, że Ghostblade nie jest stworzony do długoterminowej inwigilacji: po zebraniu danych usuwa swoje pliki tymczasowe i sam się wyłącza.

Ryzyko

Wrażliwe urządzenia mogą zostać zainfekowane już po jednej wizycie na złośliwej lub przejętej stronie internetowej. Konsekwencje mogą być poważne. DarkSword sprawia, że jedna wizyta na stronie prowadzi do całkowitego przejęcia kontroli nad urządzeniem, a następnie Ghostblade wykradł jak najwięcej danych za jednym zamachem.

  • Kradzież danych: Ghostblade i powiązane z nim ładunki mogą jednym ruchem przechwycić wiadomości (SMS, iMessage, Telegram, WhatsApp, e-maile), zdjęcia, dane dotyczące zdrowia, historię lokalizacji, dane logowania do sieci Wi-Fi, elementy pęku kluczy i wiele innych informacji.
  • Kradzież kryptowalut i profilowanie: złośliwe oprogramowanie wyszukuje konkretne aplikacje giełdowe i portfele, co umożliwia zarówno bezpośrednią kradzież, jak i pozwala przestępcom wykorzystać skradzione informacje do stworzenia szczegółowego profilu celów o znaczeniu finansowym.
  • Unikanie wykrycia: Ponieważ Ghostblade usuwa po sobie wszelkie ślady po wykradzeniu informacji, może minąć sporo czasu, zanim ofiary zorientują się, że coś jest nie tak. Wiele ofiar może nigdy nie dowiedzieć się, że padły ofiarą ataku.

Ponieważ ten sam zestaw narzędzi hakerskich jest wykorzystywany zarówno przez komercyjne firmy zajmujące się inwigilacją, jak i podmioty powiązane z państwami, liczba kampanii i ofiar będzie z czasem rosnąć.

Rozwiązania

Zaktualizuj urządzenie do najnowszej iOS wersji iOS . Luka DarkSword może dotyczyć iOS od 18.4 do 18.7, a najnowsze aktualizacje firmy Apple zawierają poprawki dotyczące luki CVE-2026-20700 i powiązanych luk w zabezpieczeniach.

Jeśli masz powody, by sądzić, że jesteś potencjalnym celem tego rodzaju ataków (dotyczy to dziennikarzy, aktywistów lub osób mających dostęp do poufnych danych), zaleca się włączenietrybu blokady:

  1. Otwórz aplikację „Ustawienia ”.
  2. Wybierz opcję Privacy bezpieczeństwo”.
  3. Przewiń w dół, wybierz op cję „Tryb blokady”, a następnie wybierz opcję „Włącz tryb blokady”.
  4. Zapoznaj się z przedstawionymi informacjami i dotknij opcji „Włącz tryb blokady”.
  5. Wybierz opcję „Włącz i uruchom ponownie”.
  6. Wprowadź kod dostępu do urządzenia, gdy pojawi się monit.

Proszę zapoznać się z konsekwencjami włączenia trybu blokady. Sprawia on, że urządzenie staje się znacznie mniej przyjazne dla użytkownika, ale okazał się skuteczny w walce z wysoce ukierunkowanymi atakami.

Oto kilka ogólnych wskazówek:

  • Korzystaj z aktualnej ochrony przed złośliwym oprogramowaniem działającej w czasie rzeczywistym, aby w miarę możliwości blokować złośliwe strony internetowe.
  • Nie należy klikać w linki zawarte w niechcianych wiadomościach, zwłaszcza dotyczących serwisów takich jak Snapchat, giełd kryptowalut, bankowości czy poczty elektronicznej.
  • Korzystaj z programów blokujących treści (na przykład Malwarebytes Browser Guard) w przeglądarce Safari, aby ograniczyć narażenie na złośliwe treści (chociaż nie są one panaceum na luki typu zero-day).
  • Przenieś kryptowaluty o dużej wartości do portfeli sprzętowych lub specjalnych urządzeń, a portfele mobilne wykorzystuj wyłącznie do przechowywania mniejszych kwot.
  • Korzystaj z menedżera haseł zsilnym uwierzytelnianiem, włącz dodatkowe zabezpieczenia, takie jak Face ID/Touch ID, i unikaj automatycznego wypełniania danych logowania o wysokim ryzyku.
  • Włączuwierzytelnianie wieloskładnikowe (klucze bezpieczeństwa FIDO2 lub uwierzytelnianie dwuskładnikowe za pomocą aplikacji) na giełdach i kontach finansowych, aby samo wykradzenie hasła nie wystarczyło do przejęcia kontroli nad Twoimi kontami.
  • Regularnie sprawdzaj uprawnienia aplikacji i cofaj dostęp do wrażliwych danych (lokalizacja, zdjęcia, kontakty, mikrofon, aparat, dane dotyczące zdrowia), jeśli nie są one potrzebne.

Nie tylko informujemy o bezpieczeństwie telefonów - my je zapewniamy

Zagrożenia cyberbezpieczeństwa nigdy nie powinny wykraczać poza nagłówek. Chroń swoje urządzenia mobilne przed zagrożeniami, pobierając Malwarebytes dla iOS i Malwarebytes dla Android już dziś.

O autorze

Pieter Arntz

Pieter Arntz

Badacz złośliwego oprogramowania

Przez 12 lat z rzędu był Microsoft MVP w dziedzinie bezpieczeństwa konsumentów. Mówi w czterech językach. Pachnie bogatym mahoniem i oprawionymi w skórę książkami.

NAJNOWSZE ARTYKUŁY

Ochrona prywatności
Oszustwa podatkowe w dark webie

Twoje formularze podatkowe są sprzedawane w dark webie za 20 dolarów

Marzec 19, 2026

Okres rozliczeń podatkowych to również szczytowy okres dla kradzieży tożsamości. Malwarebytes zauważyli, że przestępcy handlują skradzionymi danymi podatkowymi na forach w dark webie.

AI
Ukryte

Naukowcy odkryli sposób na ukrycie złośliwych poleceń poprzez manipulację wyświetlaniem czcionek

Marzec 18, 2026

Naukowcy odkryli sposób, w jaki można sprawić, by asystenci AI przeoczyli niebezpieczne instrukcje dla użytkowników zamieszczone na stronie internetowej.

Błędy
Apple

Firma Apple naprawiła błąd w WebKicie, który mógł umożliwić stronom internetowym dostęp do danych użytkowników

Marzec 18, 2026

Firma Apple opublikowała aktualizację zabezpieczeń w tle, która w sposób niewidoczny dla użytkownika usuwa lukę w zabezpieczeniach biblioteki WebKit (CVE-2026-20643).

Ikona współtwórców

Współtwórcy

Ikona Centrum zagrożeń

Centrum ds. zagrożeń

Ikona podcastów

Podcast

Ikona słowniczka

Słowniczek

Ikona oszustwa

Oszustwa