A vulnerabilidade conhecida como Espada Negra Tornou-se um dos incidentes de segurança mais graves a afetar iPhones recentemente. Pesquisadores do Google, iVerify e Lookout documentaram como esse conjunto de Explorações de clique zero Permite assumir o controle de dispositivos com iOS 18 simplesmente carregando uma página da web infectada, sem que a pessoa precise clicar em nada ou abrir links suspeitos.
O caso acendeu o alerta na comunidade europeia de cibersegurança, porque centenas de milhões de iPhones Versões vulneráveis do iOS 18 ainda estão em uso em todo o mundo. Embora a Apple já tenha lançado correções e patches de emergência, a adoção das versões mais recentes está mais lenta do que o esperado, em parte devido a dúvidas sobre como elas funcionarão. gerenciar o espaço, que mantém um considerável superfície de ataque tanto na Europa como em outros mercados.
O que exatamente é DarkSword e por que está causando tanta preocupação?
DarkSword não é uma simples falha isolada, mas sim uma Kit de Ataque Completo para iOS Projetado para comprometer iPhones sem interação do usuário. A análise técnica mostra que as cadeias de ferramentas em torno seis vulnerabilidades de dia zero Para ir do navegador Safari ao próprio kernel do sistema operacional, obtendo privilégios suficientes para acessar praticamente todas as informações do dispositivo.
A campanha original foi detectada em Dezenas de sites ucranianos legítimos que havia sido manipulada. O simples acesso a uma dessas páginas a partir de um iPhone infectado era suficiente para acionar a cadeia de exploração em segundo plano. A partir daí, o DarkSword podia ler mensagens do iMessage, WhatsApp e Telegram, revisar o histórico de navegação, visualizar notas, eventos da agenda ou até mesmo acessar registros do aplicativo Saúde da Apple.
Um dos elementos que mais preocupa os pesquisadores é que o ataque foi implementado em larga escala e não apenas contra alvos de alto perfil. De acordo com dados coletados pela iVerify e Lookout, entre 220 e 270 milhões de iPhones Eles continuam usando versões vulneráveis do iOS 18, o que na prática representa cerca de 14 a 25% da frota ativa de iPhones.
Além disso, o DarkSword depende de uma arquitetura de módulos de pós-exploração — referidos pelos analistas com nomes de código como Lâmina Fantasma, Faca Fantasma ou Sabre Fantasma— que são responsáveis por coletar e organizar informações roubadas em um tempo muito curto, algo especialmente atraente para campanhas de espionagem e roubo de criptomoedas.
Como funciona o ataque: do Safari ao núcleo do iOS
O DarkSword opera explorando uma cadeia de vulnerabilidades de segurança interligadas. O principal ponto de entrada é o Navegador Safari ou qualquer componente que renderize conteúdo da web. Quando uma página comprometida é carregada, um código especificamente projetado para explorar vulnerabilidades no mecanismo JavaScript e em outros componentes do navegador é executado.
Uma vez que a primeira fase seja bem-sucedida, a exploração avança para camadas mais profundas do sistema, aproveitando-se de vulnerabilidades adicionais até atingir o objetivo. Execução de código com privilégios elevadosCom esse nível de acesso, o invasor pode ler bancos de dados internos, extrair listas de senhas, revisar conversas e consultar arquivos que normalmente são protegidos até mesmo pelos aplicativos do próprio usuário.
A abordagem é do tipo sem arquivoEm outras palavras, o DarkSword evita instalar aplicativos visíveis ou arquivos persistentes. Em vez disso, ele sequestra processos do sistema operacional, executa comandos maliciosos a partir da memória e apaga todos os vestígios em poucos minutos. Esse comportamento de "ataque e fuga" torna a detecção extremamente difícil, mesmo para soluções especializadas, porque após a reinicialização do telefone, quase não há sinais claros da intrusão.
Esse método de operação lembra técnicas clássicas usadas em ataques cibernéticos avançados, mas adaptadas ao ecossistema da Apple. De fato, os pesquisadores enfatizam que Não foram observados indicadores usuais de spyware residente.Isso muda significativamente as regras do jogo para aqueles que estão acostumados a procurar aplicativos suspeitos em seus dispositivos.
Versões do iOS afetadas e alcance global
As primeiras ondas de DarkSword foram direcionadas principalmente para iPhones com iOS 18Relatórios do Google, Lookout e iVerify apontam consistentemente para versões entre iOS 18.4 e iOS 18.6.2 como sendo a mais claramente comprometida nas campanhas detectadas. Algumas análises também mencionam a correção parcial no iOS 18.7.2, enquanto outras indicam o fechamento completo da vulnerabilidade no iOS 26 e versões posteriores.
Em todo caso, o quadro que os dados traçam é claro: Um número muito elevado de dispositivos ainda está executando o iOS 18.Isso ocorre porque seus proprietários não atualizaram para as versões mais recentes ou porque preferem evitar mudanças na interface. Essa situação afeta não apenas usuários em zonas de conflito, mas também milhões de pessoas na União Europeia e na Espanha que usam seus iPhones diariamente para operações bancárias, identificação digital ou assinaturas eletrônicas.
Pesquisadores documentaram o uso do DarkSword desde pelo menos [ano omitido]. fim de 2025Embora a descoberta inicial tenha ocorrido em domínios ucranianos, campanhas contra alvos em [não especificado] foram detectadas em breve. Arábia Saudita, Turquia e MalásiaEm vários desses casos, o exploit estava inserido em sites legítimos, como portais de notícias ou sites administrativos, aproveitando-se de sua boa reputação para passar despercebido.
Na Europa, o risco é mais indireto, mas não menos significativo: qualquer usuário que visite páginas comprometidas hospedadas fora da Europa, ou que se conecte por meio de redes internacionais, pode acabar baixando o código malicioso. Além disso, o fato de o DarkSword ser um kit reutilizável aumenta a probabilidade de que ele eventualmente seja integrado a [incompreensível/incompreensível]. campanhas mais amplas de combate ao cibercrime, incluindo aquelas destinadas a roubar contas bancárias online e carteiras de criptomoedas usadas por cidadãos europeus.
Quem está por trás da DarkSword e qual é a sua relação com Coruna?
Um elemento fundamental para compreender o impacto do DarkSword é o seu contexto. No início deste mês, a mesma equipe do Google e da iVerify tornou público outro kit de ataque de alto nível conhecido como Corunacapaz de comprometer iPhones com iOS 13 a iOS 17.2.1 através de 23 vulnerabilidades encadeadas. Ambos os pacotes de exploração apareceram na mesma infraestrutura de servidorIsso aponta para uma fonte comum ou, pelo menos, para uma colaboração entre vários atores.
Acredita-se que parte desse arsenal tenha se originado no mercado de exploits de nível governamental. Investigações anteriores citam o caso de um ex-membro da divisão Trenchant, pertencente à empresa de defesa L3Harris, que admitiu ter... vendeu uma série de vulnerabilidades a um intermediário russo. conhecida como Operação Zero. A partir daí, as cadeias de exploração teriam passado das mãos do Estado para grupos criminosos menos escrupulosos.
No caso do DarkSword, o Google afirma ter observado seu uso por fornecedores de vigilância comercial e por supostos hackers ligados a agências de inteligência estatais. Uma das campanhas envolve especificamente a PARS Defense, uma empresa turca de vigilância comercial, em ataques direcionados a locais na Turquia e na Malásia.
Também existem ligações com a Rússia. Parte do código foi implementada em locais ucranianos comprometidosE os pesquisadores falam de operadores ligados a interesses russos que supostamente reutilizaram a vulnerabilidade para combinar espionagem política e ganho financeiro. O detalhe mais surpreendente é que o código DarkSword apareceu em alguns servidores. Sem rodeios e com comentários explicativos em inglês.Isso facilita que outros agentes maliciosos o copiem, adaptem e lancem novas campanhas.
O lançamento quase simultâneo de Coruna e DarkSword ilustra a extensão da transformação do mercado de ferramentas de intrusão para iOS. O que antes eram "armas de precisão" reservadas para operações direcionadas contra objetivos específicos agora estão se transformando em algo mais abrangente. arsenal de uso em massa, com um alcance potencial que se estende muito além dos círculos diplomáticos ou militares.
Que informações o DarkSword consegue roubar de um iPhone?
Relatórios técnicos concordam que o DarkSword tem a capacidade de extrair uma ampla gama de dados sensíveis. Uma vez concluída a intrusão, módulos de pós-exploração podem acessar esses dados. senhas armazenadas, tokens de autenticação e credenciais de serviços em nuvemIsso inclui contas de e-mail, redes sociais e acesso a serviços financeiros.
Na área das comunicações, o kit está preparado para coletar Mensagens e registros do iMessage, WhatsApp e Telegram.bem como outros aplicativos de mensagens que dependem dos mesmos bancos de dados internos. Isso permite a reconstrução de conversas passadas, a obtenção de números de telefone e metadados sobre com quem se está falando e com que frequência.
DarkSword também visa os aspectos mais pessoais do dispositivo: fotos, vídeos, Histórico de navegação, notas, calendário e dados do aplicativo Saúde.Não se trata apenas de uma questão abstrata de privacidade; em muitos casos, esses dados permitem a criação de perfis de rotinas diárias, hábitos, localização aproximada e até mesmo informações sobre o estado de saúde, algo especialmente sensível sob as rigorosas normas europeias de proteção de dados.
Um objetivo prioritário é o Carteiras de criptomoedas e outros ativos digitaisO malware tem como alvo específico credenciais e chaves associadas a carteiras digitais, plataformas de câmbio e aplicativos financeiros. Pesquisadores documentaram campanhas em que operadores do DarkSword usaram sites fraudulentos de criptomoedas para facilitar o roubo de fundos, combinando, assim, espionagem e crime financeiro.
Tudo isso é feito em um período relativamente curto. O design "sem arquivos" facilita ataques rápidos, nos quais o spyware coleta o máximo de informações possível nos primeiros minutos após a infecção e então... limpa boa parte de suas pegadasIsso reduz a probabilidade de o usuário notar algo incomum no comportamento do telefone.
Medidas de proteção: atualizações, modo de isolamento e melhores práticas
Diante de uma façanha dessa magnitude, a principal linha de defesa é, por mais simples que pareça, Mantenha seu iPhone atualizadoA Apple tem corrigido as vulnerabilidades subjacentes em várias etapas: primeiro com atualizações de segurança específicas para o iOS 18, depois com patches como o iOS 18.7.2 e, finalmente, fechando as falhas na série mais recente do iOS 26.
Na prática, a recomendação para qualquer usuário na Espanha ou no resto da Europa é acessar Configurações> Geral> Atualização de software Verifique se o dispositivo está executando a versão mais recente disponível para o modelo. Se o iPhone puder ser atualizado para o iOS 26, é recomendável fazê-lo o mais rápido possível. Para dispositivos que ainda executam o iOS 18, é essencial instalar todos os patches de segurança lançados pela Apple.
Outra camada relevante de defesa é a Modo de bloqueioEste modo, inicialmente concebido para utilizadores de alto risco — jornalistas, ativistas, funcionários públicos — provou ser eficaz no bloqueio ou, pelo menos, na significativa dificuldade de acesso a redes de exploração como as utilizadas pela DarkSword e pela Coruna. De facto, alguns destes kits optam por abortar a intrusão se detetarem que o dispositivo se encontra neste modo, de forma a não deixar qualquer vestígio que possa facilitar a investigação.
Além das atualizações e recursos avançados, existem algumas boas práticas que continuam válidas. Embora nesta campanha em particular... Não há necessidade de clicar em links estranhos. Para evitar infecções, é aconselhável limitar a exposição visitando apenas sites confiáveis, evitando redes Wi-Fi públicas não criptografadas e revisando regularmente as configurações de privacidade e segurança do sistema.
Para usuários que lidam com grandes volumes de dados sensíveis ou ativos digitais, pode ser sensato confiar em ferramentas de monitoramento especializadas como as oferecidas por empresas do setor de segurança móvel. Elas não são uma solução mágica — especialmente com ataques tão furtivos —, mas podem ajudar a detectar comportamentos anômalos ou configurações vulneráveis.
A capa DarkSword também serviu como um lembrete para muitos proprietários de iPhone na Europa de que a segurança padrão não é infalível. O iOS continua sendo uma das plataformas móveis mais robustas, mas ameaças em nível estatal e mercados de exploração de alto orçamento Eles estão atingindo um nível de sofisticação que exige extrema cautela e que as atualizações de segurança sejam levadas muito a sério.
