Patch retroativo foi liberado no dia 1º de abril, pouco depois do vazamento do código da cadeia de exploração, deixando os usuários corporativos sem opções de defesa.
A Apple disponibilizou correções para a cadeia de exploração DarkSword para todos os usuários do iOS 18 em 1º de abril. Essa ação encerrou uma significativa janela de vulnerabilidade que havia colocado muitos iPhones desprotegidos. O código foi exposto em 19 de março, após ter sido previamente corrigido, mas uma atualização do iOS trouxe mais riscos para os usuários.
A correção para o DarkSword foi inicialmente implementada no iOS 26, sua versão mais recente, seguida por uma atualização em 24 de março para dispositivos mais antigos que conseguem rodar o iOS 26. Contudo, o grupo de usuários com iPhones compatíveis que optaram por permanecer no iOS 18 ficou sem proteção.
Vazamento no GitHub pressionou a Apple
O DarkSword foi divulgado no GitHub na semana do dia 19 de março, conforme informado pela TecMania. Esse código disponibilizava uma ferramenta de ataque sofisticada para qualquer agente de ameaça interessado em utilizá-la. A Apple respondeu rapidamente com um patch retroativo.
Justin Albrecht, pesquisador da empresa de segurança Lookout, reconhece essa iniciativa como parte de uma resposta incomum. Segundo ele, a Apple tomou medidas sem precedentes para combater tanto o DarkSword quanto o Coruna, outro kit de exploração que surgiu no mesmo período.
BTG Pactual sofre ataque cibernético e suspende operações Pix
O kit Coruna disponibilizava notificações diretas para dispositivos vulneráveis e instruções concretas sobre ameaças online.
“Ele era capaz de executar comandos e controle por SMS, necessitando apenas de uma pequena modificação para coletar contatos e enviar mensagens de texto em massa com links, resultando em um malware de fácil disseminação”, explica Cole. Evidências sugerem que o Coruna foi primeiramente desenvolvido por uma empresa contratada pelas Forças Armadas dos Estados Unidos.
DarkSword é mais sutil do que parece
O DarkSword se tornou conhecido ao público duas semanas após o Coruna, mas acabou sendo tratado como um caso secundário. Cole discorda dessa visão.
“Na verdade, ele é mais insidioso, pois não realiza root no dispositivo”, afirma. “O Coruna faz isso, e por isso, se você estiver monitorando por root, poderia ter chance de detectar o Coruna. Porém, o DarkSword não precisa disso; ele simplesmente herda os privilégios de processos, obtendo acesso suficiente para utilizar funções críticas do sistema.”
A Lei Felca pode bloquear o Linux no Brasil? — OPINIÃO
Sem a assinatura de root, ferramentas comuns de detecção são menos propensas a identificar a infecção. Com um maior número de usuários no iOS 18, em comparação ao iOS 17, que é a versão mais recente afetada pelo Coruna, e com a publicação do código no GitHub durante uma fase sem correções retroativas, isso representa uma crise significativa, conforme mencionado por Cole.
A Lookout já identificou campanhas ativas utilizando o malware. Albrecht menciona uma operação de phishing via e-mail realizada pelo grupo TA446, que se disfarçou como um think tank para distribuir o DarkSword. Outras campanhas observadas foram incapazes de serem atribuídas a grupos específicos, e houve registros de diversos testes do malware sem propósito aparente.
Política de atualização corporativa gera vulnerabilidade estrutural
A janela de exposição não atingiu apenas usuários individuais que hesitaram em atualizar. Muitas empresas adotam uma política de atualização chamada n-menos-um, que mantém os dispositivos corporativos sempre uma versão atrás na implementação de patches. Essa abordagem de gerenciamento de risco pode se transformar em um sério risco.
Cole questiona esse modelo. “Se você é um usuário corporativo e seu departamento de TI determina que você deve operar com a chamada cadência de atualização n-menos-um, como se proteger se as correções não são aplicadas a todas as versões? Isso desafia a noção de que uma estratégia baseada apenas em correções será suficiente daqui para frente.”
Por que o Android terá espera de 24h para instalar apps fora da Play Store?
Com as duas explorações agora corrigidas, Cole alerta sobre as próximas ameaças. “O que o DarkSword e o Coruna demonstram, juntos, é que o mercado de kits de exploração de vulnerabilidades n-day para iOS está em ascensão. O preço caiu drasticamente e, embora ambos já tenham sido totalmente corrigidos, surge o questionamento sobre quantos outros kits ainda estão circulando.”
Acompanhe a TecMania nas redes sociais. Para mais novidades sobre segurança e tecnologia, inscreva-se em nossa newsletter e canal do YouTube.
