【安全资讯】新型iOS漏洞利用工具“Darksword”被用于窃取iPhone用户敏感信息

概要：

网络安全研究人员近期发现了一个针对iOS设备的新型漏洞利用工具包和攻击框架，名为“Darksword”。该工具被用于发起信息窃取攻击，目标直指运行特定版本iOS的iPhone用户，尤其威胁到加密货币钱包等敏感数据的安全。此次事件凸显了移动设备面临的持续高级威胁，以及漏洞武器化在金融犯罪和网络间谍活动中的关键作用。

主要内容：

“Darksword”攻击始于Safari浏览器，攻击者通过恶意网站上的iframe注入多个漏洞利用程序，以获取内核读写权限。其核心是一个名为“pe_main.js”的主协调器组件，负责执行后续攻击链。该工具包利用了多个已知的iOS漏洞（包括CVE-2025-31277等），涉及类型混淆、释放后重用、越界写入、写时复制内核漏洞及内核权限提升等缺陷。尽管这些漏洞已被苹果公司在最新iOS版本中修复，但未及时更新的设备仍面临高风险。

攻击得逞后，协调器会将一个JavaScript引擎注入到拥有高权限的iOS系统服务中，如App Access、Wi-Fi、Keychain和iCloud。随后，激活专门的数据窃取模块。这些模块旨在盗取范围极广的个人信息，包括保存的密码、照片、WhatsApp/Telegram聊天数据库、Coinbase和Binance等主流加密货币钱包数据、短信、通讯录、位置历史、浏览器记录以及Apple Health健康数据等。

研究人员将此次攻击背后的威胁组织追踪为UNC6353，并将其与近期披露的Coruna漏洞利用链关联，认为其很可能是一个资金充足、与俄罗斯有关的威胁行为体。该组织不仅出于金融动机，其活动也符合俄罗斯情报需求。值得注意的是，Darksword在窃取数据并外传后会清除临时文件并退出，表明其设计初衷并非长期监控，而是高效的定向信息窃取。安全专家强烈建议用户立即升级至最新的iOS 26.3.1版本，并建议高风险用户启用锁定模式以增强防护。