C’è un momento, in ogni narrazione tecnologica, in cui il mito dell’invulnerabilità scricchiola. Per anni, l’ecosistema Apple è stato raccontato come una fortezza quasi impenetrabile. Poi arriva DarkSword, e la sceneggiatura cambia tono: meno rassicurante, decisamente più tesa.
Scoperto dai ricercatori di Lookout Threat Labs, questo nuovo malware – attribuito al gruppo identificato come UNC6353, legato a un contesto russo – rappresenta una delle minacce più sofisticate emerse negli ultimi mesi nel panorama iOS.
Non tanto per la complessità pura del codice, quanto per la chirurgica efficacia con cui agisce. Un attacco rapido, invisibile, quasi elegante nella sua esecuzione. E proprio per questo, difficile da intercettare.
Il bersaglio principale, al momento, è l’Ucraina. Ma limitarsi a una lettura geografica sarebbe un errore. Il meccanismo utilizzato – il cosiddetto “watering hole” – ha una portata potenzialmente globale. Basta visitare un sito compromesso per attivare l’infezione. Nessun clic sospetto, nessuna app da installare. Solo una visita, apparentemente innocua. È qui che DarkSword cambia le regole del gioco.
Come funziona davvero l’attacco
Il punto di ingresso è Safari. L’utente visita una pagina web compromessa, al cui interno è nascosto un iframe malevolo. Da quel momento in poi, il dispositivo viene “profilato” in tempo reale: il sistema verifica se l’iPhone utilizza una versione vulnerabile di iOS – nello specifico tra la 18.4 e la 18.6.2. Se il dispositivo rientra nel target, parte la catena di exploit.
Il pericolo da Safari – melablog.it
Il malware sfrutta una serie di vulnerabilità concatenate per uscire dalla sandbox del browser, ottenere accesso al kernel e, da lì, muoversi liberamente all’interno del sistema. È un’escalation silenziosa, che si consuma in pochi secondi. Una volta acquisiti i privilegi più elevati, DarkSword avvia la raccolta dati: password, email, wallet di criptovalute, cronologia delle posizioni, foto, persino informazioni sanitarie.
Tutto viene compresso, trasferito a server esterni e poi cancellato. Nessuna traccia evidente, nessun rallentamento significativo. L’utente, nella maggior parte dei casi, non si accorge di nulla.
Un malware più “economico”, ma non meno pericoloso
Uno degli aspetti più interessanti – e inquietanti – riguarda il modello operativo. Tradizionalmente, attacchi di questo livello erano appannaggio esclusivo di attori statali, vista la complessità e i costi elevati. DarkSword, invece, segna un cambio di paradigma.
Secondo gli analisti, si tratta di una tecnologia più accessibile, meno costosa da sviluppare e distribuire. Questo apre scenari nuovi: non più solo spionaggio mirato, ma anche estorsione su larga scala. Un’evoluzione che abbassa la soglia d’ingresso per gruppi meno sofisticati ma comunque ben finanziati. In altre parole, il rischio si democratizza. E questo lo rende ancora più difficile da contenere.
Chi è davvero al sicuro
Non tutto, però, è fuori controllo. Apple ha già corretto le vulnerabilità sfruttate da DarkSword nelle versioni più recenti di iOS. I dispositivi aggiornati oltre la 18.7.3 (o equivalenti nelle release successive) risultano protetti.
Il problema, come spesso accade, è l’inerzia degli utenti. Aggiornamenti rimandati, dispositivi non supportati, abitudini consolidate. È in queste crepe che malware come DarkSword trovano spazio. In cui anche i sistemi più chiusi possono essere aggirati, se il livello di attenzione cala.
