DarkSword, iOS 18 sürümlerini hedef alıyor

Google, Lookout ve iVerifydan araştırmacılar; savunmasız iPhoneları uzaktan ele geçirmek için birden fazla yazılım açığından oluşan bir zinciri kullanan bu saldırı hakkında uyarıda bulundu.

Google ayrıca, birden fazla ticari gözetleme satıcısının ve devlet destekli olduğundan şüphelenilen aktörlerin, Kasım ayından bu yana Suudi Arabistan, Türkiye, Malezya ve Ukrayna merkezli iPhone kullanıcılarını hedef almak için DarkSwordu kullandığını söylüyor.Güvenlik araştırmacıları DarkSwordu, bir ABD askeri yüklenicisi tarafından geliştirilmiş olabileceği ve sonrasında siber suç gruplarının eline geçtiği düşünülen Coruna adlı başka bir iOS istismar kitini araştırırken keşfettiler.

Bu ayın başlarında ifşa edilen Coruna da iPhoneları hackleyebiliyor ancak sadece iOS 13 ile 17.2.1 arasındaki eski sürümleri hedef alıyor.Corunayı kullandığı tespit edilen saldırganlardan biri, UNC6353 adlı Rus bir hacker grubuydu.

Mobil güvenlik sağlayıcısı Lookout, UNC6353ün kripto para cüzdan detayları da dahil olmak üzere hassas bilgileri çalmak amacıyla Ukraynalı kullanıcıları hedef almak için DarkSwordu da kullandığına dair yeni kanıtlar ortaya çıkardı.Şirketin raporunda, Özellikle DarkSword, hedef verileri cihazdan saniyeler veya en fazla dakikalar içinde toplayıp dışarı aktaran ve ardından temizlik yapan bir vur-kaç yaklaşımı sergiliyor gibi görünüyor, ifadesine yer verildi.Güvenlik sağlayıcısı iVerify ise saldırının, Safari tarayıcısı üzerinden ziyaret edilen bir web sitesi aracılığıyla tek tıkla çalışan bir istismar (exploit) yöntemi olduğunu belirtiyor.

Ancak UNC6353ün saldırıyı yalnızca Ukrayna merkezli IP adreslerine sahip iPhonelara yönlendirdiği görüldü.Grup, saldırıyı gerçekleştirmek için biri gov.ua uzantılı olmak üzere iki Ukrayna web alan adına müdahale ederek, açıkları tetikleyecek kötü amaçlı JavaScript kodları yükledi.

Kullanıcının Safari üzerinden web sitesini ziyaret etmesi dışında herhangi bir etkileşime girmesine gerek kalmadığı görülüyor.Saldırı sonucunda, kripto para uygulamalarından cüzdan dosyalarını tespit etmek üzere tasarlanmış bir kötü amaçlı yazılım yükleniyor. iVerifyın raporunda, DarkSword ismi, sistemden Wi-Fi şifrelerini çıkaran kodun içindeki const TAG = DarkSword-WIFI-DUMP değişkeninden geliyor, denildi.Googleın incelemesi, DarkSword kullanımının Kasım 2025e kadar uzandığını ortaya koydu.

O dönemde farklı bir hacker grubu, Suudi Arabistandaki kullanıcıları vurmak için sahte bir Snapchat sitesi üzerinden bu saldırıyı kullanıyordu.

Daha sonra  bir Türk gözetleme şirketi de bu açığı Türkiyede ve sonrasında Malezyada, bir arka kapı (backdoor) oluşturmak amacıyla kullandı.Googlea göre DarkSword, ilk olarak Mart 2025 ve Eylül aylarında çıkan iOS 18.4 ile 18.7 arasındaki sürümleri hedefleyebiliyor.

Apple o zamandan beri iOS 26 sürümüne geçiş yaptı.

Google raporunda, DarkSword saldırılarının üç farklı kötü amaçlı yazılım türünü yaymak için toplamda altı farklı güvenlik açığını kullandığının görüldüğü belirtildi.Google, bu açıkları geçen yılın sonlarında Applea bildirdiğini söylüyor.

Googleın raporunda, Tüm açıklar iOS 26.3 sürümüyle kapatıldı (çoğu daha önce yamalanmıştı), denildi. iOS 18.7.3 ve üzeri sürümler de bu tehdide karşı yamalandı.

DarkSword, bir zamanlar sadece istihbarat servislerinin elinde bulunan gelişmiş hack araçlarının artık siber suç pazarında kolayca alıcı bulabildiğini kanıtlıyor. iPhoneunuzun güvenli olduğuna güvenmek yerine, yazılım güncellemelerini bir yük değil, bir kalkan olarak görmelisiniz.