Des chercheurs d'iVerify ont identifié un kit d'exploitation ciblant les iPhone sous iOS 18.4 à 18.6.2. Baptisé DarkSword, il repose sur des sites web ordinaires compromis pour infecter les appareils et aspirer discrètement leurs données.
Deux semaines après que nous rapportions la découverte du kit Coruna, un outil d'exploitation iOS lié à un acteur russe ciblant des Ukrainiens, un chercheur de Lookout avait signalé à iVerify une URL suspecte, se terminant par "/rce_module.js". Les deux équipes ont remonté la piste jusqu'à deux sites ukrainiens compromis, et trouvé un nouveau kit baptisé DarkSword.
Une simple page web suffit à déployer l'attaque
Les domaines novosti/./dn.ua et 7aac/./gov.ua avaient été compromis pour y glisser un script pointant vers un serveur en Estonie. Celui-ci déployait à son tour une iframe invisible chargeant discrètement le code d'exploitation. La victime, elle, visitait simplement un site habituel depuis son iPhone, sans rien faire de particulier.
Ce serveur repérait les adresses IP ukrainiennes pour déployer des exploits. Google, qui a collaboré avec iVerify, a toutefois observé DarkSword utilisé contre des cibles en Arabie saoudite, en Turquie et en Malaisie. Les premières étapes du code contenaient des commentaires rédigés en russe.
La chaîne d'attaque est entièrement écrite en JavaScript, sans fichier binaire, ni bibliothèque traditionnelle. Elle enchaîne plusieurs étapes avec d'abord l'exploitation d'une faille dans JavaScriptCore, le moteur JavaScript de Safari, pour exécuter du code à distance. Puis, elle procède à une sortie du bac à sable via une vulnérabilité dans ANGLE, la bibliothèque graphique du processus GPU. Enfin, les chercheurs ont analysé une élévation de privilèges jusqu'au noyau iOS via le pilote AppleM2ScalerCSCDriver. Des implants JavaScript sont ensuite injectés dans le processus système mediaplaybackd pour accéder aux données de l'appareil.
Un aspirateur de données qui s'efface lui-même
Les hackers ont littéralement accès à toutes les données. SMS et iMessage, historique d'appels, contacts, notes, calendrier, historique et cookies Safari, mots de passe Wi-Fi, localisation, métadonnées de photos, données de santé, e-mails, informations SIM et identifiants d'appareils. Le trousseau de clés (Keychain), qui stocke les mots de passe enregistrés, est aussi dans le viseur, tout comme les données de Telegram et WhatsApp.
Plusieurs dizaines d'applications de portefeuilles crypto sont ciblées par catégories entières : Coinbase, Binance, Ledger, MetaMask, Phantom, Trust Wallet, mais aussi des plateformes d'échange comme Kraken, Bybit et OKX, ou encore des applications DeFi recherchées par mots-clés ("wallet", "bitcoin", "web3"). Une fois l'exfiltration terminée, l'implant supprime ses fichiers temporaires et s'arrête. Sans persistance et sans nouvelle infection, cela complique donc sa détection.
iVerify estime qu'environ 14,2% des utilisateurs d'iPhone (soit tout de même 221 millions d'appareils) tournent encore sur une version vulnérable d'iOS. Apple a progressivement corrigé les failles dans iOS 26.1, 26.2 et 26.3, ainsi que dans les branches 18.7.x. La mise à jour vers iOS 18.7.6 ou iOS 26.3.1 couvre l'ensemble des vulnérabilités exploitées. Le mode Lockdown et la fonctionnalité "Memory Integrity Enforcement" des iPhone 17 auraient par ailleurs bloqué cette chaîne d'attaque.
