Europa Press/Contacto/Wu Xiaoling - Arquivo
MADRID 19 mar. (Portaltic/EP) -
Pesquisadores de segurança cibernética do Google, em conjunto com a iVerify e a Lookout, alertaram sobre um novo 'exploit' direcionado a dispositivos iPhone chamado DarkSword, um 'spyware' que aproveita vulnerabilidades do iOS 18 para roubar os dados do 'smartphone' apenas ao visitar uma página da web, o que poderia afetar milhões de usuários que ainda utilizam essas versões do sistema operacional.
Essa nova ferramenta maliciosa é capaz de agir sem a necessidade de instalar arquivos ou realizar outros tipos de invasões; em vez disso, ela explora até seis vulnerabilidades de dia zero para comprometer completamente os dispositivos. Dessa forma, ela consegue controlar os processos legítimos do sistema operacional do iPhone, roubar dados em questão de minutos e, uma vez finalizada sua atividade, eliminar seus rastros.
Isso foi detalhado pelo Grupo de Inteligência de Ameaças do Google (GTIG) em um relatório conjunto com as empresas de segurança cibernética iVerify e Lookout, no qual esclareceram que, com o ataque do DarkSword, são implantadas três famílias distintas de 'malware', como GHOSTBLADE, GHOSTKNIFE e GHOSTSABER, refletindo o kit de exploits Coruna para iOS corrigido recentemente.
Especificamente, o DarkSword é compatível com as versões do sistema operacional que vão do iOS 18.4 ao iOS 18.7 e, segundo a iVerify, essas versões lançadas em 2025 ainda estão em execução em até 270 milhões de dispositivos em todo o mundo, o que mostra o risco que isso pode representar para os usuários atualmente.
ROUBO DE DADOS APENAS AO VISITAR UM SITE INFECTADO
Conforme explicaram os pesquisadores, para que os agentes maliciosos executem o ataque DarkSword no iPhone da vítima, basta que o usuário visite um site específico.
Esses sites são páginas legítimas infectadas com o 'iframe' malicioso com o DarkSword incorporado pelos cibercriminosos; assim, assim que a página é carregada no iPhone, o ataque começa a ser executado, sem a necessidade de qualquer outra intervenção por parte do usuário. Por exemplo, em um dos ataques identificados em novembro, o agente malicioso utilizou um site com a temática da rede social Snapchat.
A ferramenta consegue acessar o dispositivo utilizando os processos do sistema de forma legítima, começando no nível do Webkit e descendo até o kernel para, finalmente, comprometer o iPhone por completo. Como resultado, ela coleta dados em massa, incluindo senhas de Wi-Fi, mensagens de texto, histórico de chamadas, localização, dados do cartão SIM e da carteira de criptomoedas, entre outros dados confidenciais.
Tudo isso é realizado em apenas alguns minutos e, como não requer a instalação de nenhum arquivo, uma vez concluído, desaparece ao reiniciar o dispositivo, apagando seus rastros.
CAMPANHAS DE ESPIONAGEM DE AGENTES PATROCINADOS POR ESTADOS
O uso dessa ferramenta maliciosa remonta, pelo menos, a novembro de 2025, quando o GTIG observou que vários fornecedores de vigilância comercial e supostos agentes patrocinados por Estados utilizaram o DarkSword em diferentes campanhas de espionagem contra alvos na Arábia Saudita, Turquia, Malásia e Ucrânia.
O Google referiu-se ao grupo supostamente russo UNC6353 como um dos agentes maliciosos que incorporou o DarkSword às suas campanhas de ataque, após ter utilizado anteriormente o Coruna contra alvos na Ucrânia.
No entanto, graças ao fato de alguns dos “hackers” terem deixado o código do DarkSword exposto, os pesquisadores de segurança conseguiram identificar o funcionamento da ferramenta, acessível por meio dos sites infectados.
Com tudo isso, deve-se levar em conta que o GTIG já informou a Apple sobre essas vulnerabilidades utilizadas nos ataques DarkSword no final do ano passado de 2025 e, por sua vez, a Apple as corrigiu totalmente com o lançamento do iOS 26.3.
No entanto, os usuários que continuarem utilizando as versões afetadas do iOS 18.4 ao iOS 18.7 permanecem vulneráveis a esses ataques; por isso, recomenda-se atualizar os dispositivos para a versão mais recente do iOS. Além disso, o Google informou que adicionou os domínios envolvidos na distribuição do DarkSword ao serviço de Navegação Segura para proteger o usuário em tempo real.
Esta notícia foi traduzida por um tradutor automático