Scopri anche

• CVE-2026-35616: Fortinet corregge vulnerabilità zero-day critica in FortiClient EMS
• BD-UN-JB-Poops-Autoloader 1.01: aggiornamento SDK e supporto firmware fino a 12.00
• Apple rilascia iOS 18.7.7 per bloccare l'exploit DarkSword: analisi della minaccia
• Apple rilascia iOS 18.7.7 per bloccare l'exploit DarkSword
• La settimana che ha cambiato la sicurezza informatica: Claude Code, il leak e l'exploit FreeBSD
• ShadowMountPlus e Poops-PS5-Java: nuovi strumenti per la scena PlayStation 5
• Vulnerabilità critiche in schede madri e software Gigabyte: milioni di sistemi a rischio
• Apple rilascia iOS 18.7.7 per contrastare l'exploit kit DarkSword
• Vulnerabilità critiche investono l'ecosistema WordPress: oltre 10 milioni di siti esposti a rischi di compromissione
• Claude Code: dal leak del codice sorgente alla creazione autonoma di exploit kernel
• iOS 26.5 Beta 1: Apple rilascia la prima versione per sviluppatori con novità per Mappe, RCS e interoperabilità UE
• L'Italia nel mirino: attacchi informatici +42% e una sicurezza ancora sotto tono
• Vulnerabilità critiche in software e firmware Gigabyte: analisi delle falle di sicurezza e aggiornamenti disponibili
• Prompt injection e sicurezza degli agenti AI: la vulnerabilità strutturale delle aziende
• ChatGPT arriva su Apple CarPlay con iOS 26.4: interazione vocale esclusiva
• DarkSword: l'exploit kit iOS che combina sei vulnerabilità per il controllo silenzioso dei dispositivi
• Samsung distribuisce la patch di sicurezza di marzo 2026 su ampia gamma di dispositivi Galaxy
• Apple rilascia patch di sicurezza per iOS 18 contro l'exploit DarkSword
• Telegram sotto attacco: vulnerabilità zero-day, truffe e minacce alla sicurezza
• L'intelligenza artificiale sta trasformando l'app economy: app come infrastruttura invisibile

Apple espande aggiornamento iOS 18.7.7 per bloccare gli exploit DarkSword

Apple espande aggiornamento iOS 18.7.7 per bloccare gli exploit DarkSword

Apple ha esteso la disponibilità degli aggiornamenti iOS 18.7.7 e iPadOS 18.7.7 a una gamma più ampia di dispositivi per proteggere gli utenti dagli exploit DarkSword. La messa in sicurezza interviene dopo che ricercatori di sicurezza hanno identificato un kit di exploit utilizzato da molteplici attori per infettare iPhone con malware tramite siti web compromessi.

Secondo quanto riportato da Apple, l'aggiornamento è stato reso disponibile il 1° aprile 2026 per dispositivi precedentemente esclusi. Gli utenti con aggiornamenti automatici attivati riceveranno le protezioni automaticamente. La patch corregge vulnerabilità già risolte in iOS 26, ma che rimanevano esposte nei dispositivi ancora su iOS 18.

Cos'è DarkSword e come opera

⬆ Torna su

DarkSword è un kit di exploit web-based che combina sei vulnerabilità in iOS e Safari per distribuire malware sui dispositivi. I ricercatori di Google Threat Intelligence Group, iVerify e Lookout hanno documentato che il toolkit è stato utilizzato in attacchi dal luglio 2025 in Paesi tra cui Arabia Saudita, Turchia, Malaysia e Ucraina.

Le sei vulnerabilità sfruttate sono identificate con i codici CVE-2025-31277, CVE-2025-43529, CVE-2026-20700, CVE-2025-14174, CVE-2025-43510 e CVE-2025-43520. L'attacco si attiva quando un utente visita un sito web legittimo ma compromesso che ospita codice malevolo, una tecnica nota come "watering hole".

Durante le campagne osservate, gli aggressori hanno utilizzato siti falsificati, tra cui una versione contraffatta di Snapchat, e hanno compromesso siti governativi ucraini. Una volta eseguito l'exploit, il dispositivo viene infettato con malware progettato per rubare dati.

Il malware Ghostblade e i suoi obiettivi

⬆ Torna su

Tra i payload distribuiti tramite DarkSword figura Ghostblade, un infostealer che esfiltra una vasta quantità di dati personali. I ricercatori hanno documentato che Ghostblade prende di mira applicazioni e wallet di criptovaluta, tra cui Coinbase, Binance, Kraken, Kucoin, OKX, Mexc, Ledger, Trezor, Metamask, Exodus, Uniswap, Phantom e Gnosis Safe.

Oltre ai dati delle app di criptovaluta, il malware ruba messaggi, cronologia chiamate, contatti, foto, email, password, dati di geolocalizzazione, cronologia di navigazione e file archiviati in iCloud. Ghostblade elimina i propri file temporanei e si termina dopo aver raccolto i dati, progettato per un'esfiltrazione rapida piuttosto che per sorveglianza a lungo termine.

Gli attacchi sono stati attribuiti a diversi attori: il fornitore turco di sorveglianza commerciale PARS Defense, un attore noto come UNC6748 e un gruppo di spionaggio russo tracciato come UNC6353. Proofpoint e Malfors hanno inoltre collegato il gruppo COLDRIVER (TA446) all'uso di DarkSword per consegnare GHOSTBLADE in attacchi contro enti governativi, think tank, università, istituzioni finanziarie e legali.

Una patch separata per iOS 18

⬆ Torna su

La decisione di Apple di rilasciare una patch specifica per iOS 18 rappresenta una deviazione dalla prassi consueta. Tipicamente, l'azienda invita gli utenti ad aggiornare all'ultima versione del sistema operativo. In questo caso, Apple ha reso disponibile iOS 18.7.7 anche per dispositivi capaci di eseguire iOS 26 ma ancora su versioni precedenti.

Secondo un sondaggio di TelemetryDeck, circa il 19% degli utenti iPhone era ancora su iOS 18 alla fine di febbraio. Una parte degli utenti ha preferito non aggiornare a iOS 26 per evitare la nuova interfaccia "Liquid Glass" introdotta da Apple. L'aggiornamento iOS 18.7.7 inizialmente era limitato a iPhone XS, iPhone XS Max, iPhone XR e iPad settima generazione, rilasciato il 24 marzo 2026.

Con l'estensione del 1° aprile, i dispositivi ora idonei includono iPhone XR, XS, XS Max, tutta la serie iPhone 11, 12, 13, 14, 15, 16, iPhone SE (seconda e terza generazione), e molteplici modelli di iPad tra cui iPad mini, iPad Air e iPad Pro di varie generazioni.

La diffusione del toolkit e i rischi crescenti

⬆ Torna su

Un ricercatore ha pubblicato il kit DarkSword su GitHub, rendendolo accessibile ad altri attori. La disponibilità pubblica del toolkit ha alimentato preoccupazioni tra gli esperti di sicurezza riguardo a un potenziale aumento delle campagne di attacco. DarkSword dimostra che strumenti di sorveglianza potenti per iPhone potrebbero non essere rari come precedentemente considerato.

Rocky Cole, co-fondatore e COO di iVerify, ha dichiarato che "DarkSword ruba silenziosamente grandi quantità di dati utente semplicemente perché l'utente ha visitato un sito web reale ma compromesso". L'azienda ha confermato che circa il 20% degli utenti esegue ancora versioni di iOS non patchate.

Misure di protezione consigliate

⬆ Torna su

Apple raccomanda agli utenti di aggiornare all'ultima versione iOS disponibile per il proprio dispositivo. Per chi non può aggiornare, l'azienda suggerisce di attivare la Modalità Blocco (Lockdown Mode), che protegge contro contenuti web malevoli e altre minacce. Secondo Apple, non sono noti attacchi spyware governativi riusciti contro dispositivi con Lockdown Mode attivo.

La documentazione di supporto Apple specifica che gli utenti di iOS 13 o 14 devono eseguire l'aggiornamento a iOS 15 per ricevere le protezioni. Gli aggiornamenti automatici rimangono il metodo consigliato per ricevere le patch tempestivamente.

Apple ha inoltre iniziato a inviare notifiche sulla schermata di blocco agli utenti con versioni datate di iOS e iPadOS, avvertendo degli attacchi web-based e sollecitando l'installazione degli ultimi aggiornamenti.

Questo articolo è una sintesi basata esclusivamente sulle fonti elencate.

Implicazioni e scenari

⬆ Torna su

La pubblicazione di DarkSword su GitHub cambia la dinamica delle minacce: strumenti precedentemente riservati ad attori statali o commerciali diventano accessibili a gruppi meno sofisticati. La decisione di Apple di patchare retroattivamente iOS 18 segnala una presa d'atto del fatto che una quota significativa di utenti permane su versioni precedenti per scelta o necessità.

• Scenario 1: l'accessibilità pubblica del toolkit potrebbe moltiplicare le campagne "watering hole", estendendosi oltre i target geopolitici documentati verso obiettivi più generici.
• Scenario 2: il modello di patch separata per iOS 18 potrebbe diventare ricorrentente, se la percentuale di utenti che evitano gli aggiornamenti maggiori rimane stabile.
• Scenario 3: gli attori già identificati potrebbero evolvere i payload oltre Ghostblade, mantenendo la stessa infrastruttura di distribuzione.

Cosa monitorare

⬆ Torna su

• Il tasso di adozione di iOS 18.7.7 nei prossimi mesi, specialmente tra utenti con wallet crittografici.
• Segnalazioni di varianti del toolkit o nuovi exploit che sfruttano vettori simili.
• Eventuali cambiamenti nella policy di aggiornamento di Apple per versioni legacy.

Nota editoriale: questa sezione propone una lettura analitica dei temi trattati, senza introdurre dati fattuali non presenti nelle fonti.

Fonti

⬆ Torna su

• https://mashable.com/article/apple-darksword-patch
• https://thehackernews.com/2026/04/apple-expands-ios-1877-update-to-more.html
• https://www.dailymail.co.uk/sciencetech/article-15705109/apple-iphone-warning-darksword-attack.html
• https://www.bitdefender.com/en-us/blog/hotforsecurity/update-ios-protect-data-patch-coruna-darksword-exploits
• https://www.malwarebytes.com/blog/mobile/2026/03/a-darksword-hangs-over-unpatched-iphones
• https://www.bleepingcomputer.com/news/security/apple-expands-ios-18-updates-to-more-iphones-to-block-darksword-attacks/
• https://techcrunch.com/2026/04/01/apple-releases-security-fix-for-older-iphones-and-ipads-to-protect-against-darksword-attacks/