Шпионское ПО Darksword атакует iPhone в Украине

Кибербезопасность исследователи выявили новую целенаправленную кампанию против пользователей iPhone в Украине. Группа хакеров, предположительно связанная с российским правительством, применила улучшенный инструмент под названием Darksword для кражи личных данных и возможного похищения криптовалют.

Атака связана с предыдущими операциями, включая использование инструмента Coruna. Darksword эксплуатирует уязвимости в iOS и распространяется через скомпрометированные украинские веб-сайты, заражая устройства посетителей с украинских IP-адресов.

Мальвар собирает конфиденциальную информацию: пароли, фотографии, сообщения из мессенджеров (WhatsApp, Telegram) и SMS, историю браузера. Важная особенность — отсутствие долгосрочного наблюдения: после извлечения данных вредоносное ПО самоудаляется, что характерно для операций «быстрого захвата».

Особое внимание привлекает способность Darksword красть криптовалюту из популярных кошельков, что редко для государственных хакерских групп. Это может указывать на финансовую мотивацию или расширение целей атакующих.

Эксперты отмечают, что появление Darksword после Coruna демонстрирует растущую доступность сложного шпионского ПО для iPhone. Географическая ограниченность атаки (только Украина) предполагает фокус на конкретных целях или тестовый запуск.

Группа UNC6353, ответственная за атаки, считается хорошо финансируемой и действующей в интересах российской разведки, сочетая задачи шпионажа и финансовой выгоды.

Жертвами становятся обычные пользователи, посещающие украинские ресурсы, без точечного отбора, что делает кампанию широкой, но локальной по охвату.