Apple invita ad aggiornare iOS: exploit kit DarkSword e Coruna minacciano milioni di dispositivi

DarkSword e Coruna sfruttano vulnerabilità in WebKit per compromettere iPhone obsoleti. Apple rilascia patch urgenti e raccomanda l'aggiornamento immediato a i…

Contenuto

Apple invita ad aggiornare iOS: exploit kit DarkSword e Coruna minacciano milioni di dispositivi

Scopri anche

Apple invita ad aggiornare iOS: exploit kit DarkSword e Coruna minacciano milioni di dispositivi

Apple invita ad aggiornare iOS: exploit kit DarkSword e Coruna minacciano milioni di dispositivi

In questo articolo:

Apple ha pubblicato un documento di supporto ufficiale in cui invita gli utenti ad aggiornare iOS all'ultima versione disponibile per proteggere l'iPhone da attacchi web. La raccomandazione segue l'individuazione di attacchi basati su contenuti malevoli che prendono di mira le versioni obsolete del sistema operativo. Chi utilizza una versione datata di iOS rischia di esporre i propri dati nel caso in cui clicchi su un link malevolo o visiti un sito web compromesso.

Cos'è DarkSword e come opera

⬆ Torna su

Il toolkit DarkSword, individuato da Google Threat Intelligence Group insieme a Lookout e iVerify, sfrutta una combinazione di vulnerabilità in iOS 18.4 fino a iOS 18.7 per sottrarre dati personali e riservati senza richiedere installazioni o interazioni complesse. Una semplice visita a una pagina web può trasformarsi in un vettore di compromissione per milioni di iPhone. Il punto di ingresso principale è il motore WebKit, componente fondamentale di Safari e di altri browser su iOS.

DarkSword utilizza una sequenza di vulnerabilità che consente di eseguire codice arbitrario semplicemente caricando una pagina malevola. Non serve installare app, né concedere permessi manuali. L'exploit sfrutta bug di memoria, tipicamente use-after-free o type confusion, per ottenere una prima esecuzione nel contesto del browser. Da qui, la catena prosegue con tecniche di escalation che aggirano le sandbox di iOS.

DarkSword si distingue per un comportamento specifico: non tenta di rimanere attivo nel dispositivo. Una volta insediatosi, raccoglie i dati disponibili e li invia a server remoti attraverso canali cifrati, spesso usando connessioni HTTPS. Il tempo di permanenza, definito dwell time, si limita a pochi minuti. Dopo l'esfiltrazione, il codice elimina i file temporanei e termina il processo. Al riavvio del dispositivo, ogni traccia operativa risulta praticamente assente.

Il kit Coruna: 23 vulnerabilità su un arco temporale ampio

⬆ Torna su

Il kit di exploit Coruna prende di mira gli iPhone con iOS dalla versione 13 alla 17.2.1, sfruttando la navigazione web tramite Safari. Individuato dal Google Threat Intelligence Group e dai ricercatori di iVerify, opera tramite siti compromessi o creati ad hoc. Coruna non è un semplice malware, ma un exploit kit strutturato, in grado di sfruttare cinque catene complete di vulnerabilità per un totale di 23 falle presenti nelle versioni di iOS comprese tra iOS 13 e iOS 17.2.1.

Il funzionamento parte dalla visita a un sito malevolo. Uno script JavaScript nascosto esegue una ricognizione rapida: modello di iPhone, versione di iOS, impostazioni di sicurezza, modalità di navigazione. Il kit sceglie quindi una delle cinque exploit chain, combinando le vulnerabilità per ottenere privilegi elevati sul dispositivo. Una volta aggirate le difese, installa un payload modulare in grado di sottrarre dati sensibili.

Secondo le ricostruzioni, l'exploit kit sarebbe stato inizialmente impiegato in contesti di sorveglianza mirata, per poi essere utilizzato in campagne legate allo spionaggio internazionale e, infine, finire in operazioni di cybercriminalità su larga scala. L'analisi tecnica condotta da iVerify suggerisce similitudini con strumenti precedentemente attribuiti a entità governative statunitensi, inclusi elementi che ricordano l'Operazione Triangolazione del 2023.

Dati a rischio: wallet crypto, credenziali e comunicazioni

⬆ Torna su

La quantità di informazioni accessibili dipende dal livello di compromissione raggiunto. DarkSword riesce a estrarre contenuti da keychain iOS, cronologia di navigazione, registri chiamate e contatti. Può accedere a messaggi iMessage, email e dati di applicazioni come WhatsApp e Telegram. Particolarmente critica è la possibilità di ottenere credenziali salvate, incluse password WiFi e token di autenticazione iCloud. In alcuni scenari, gli attaccanti riescono a recuperare informazioni da wallet di criptovalute e impostazioni di servizi come Apple Dov'è.

Coruna, in particolare, è progettato per cercare parole chiave specifiche, frasi di recupero BIP39 e persino QR code nelle immagini salvate sul dispositivo. Il malware installato mostra moduli ottimizzati per una finalità specifica: intercettare dati dei wallet crypto, carpire le frasi seed e consentire il completo svuotamento dei portafogli digitali. L'obiettivo dichiarato non è lo spionaggio di Stato, ma il guadagno economico diretto.

Campagne osservate e geografia degli attacchi

⬆ Torna su

Le analisi hanno individuato diverse campagne. Un primo caso, osservato a novembre 2025, utilizzava un sito falso a tema Snapchat denominato Snapshare. La pagina reindirizzava gli utenti verso il servizio legittimo dopo aver eseguito l'exploit, riducendo la probabilità di sospetto. Più recentemente, il gruppo identificato come UNC6353, con possibili legami con ambienti governativi russi, ha impiegato DarkSword contro utenti in Ucraina. Gli attacchi sono stati veicolati attraverso siti di notizie e portali istituzionali compromessi.

Coruna avrebbe compromesso circa 42.000 iPhone, configurandosi come la prima campagna di massa documentata contro il sistema operativo mobile di Apple. Le campagne osservate sfruttano soprattutto attacchi di tipo watering hole: gli hacker compromettono siti legittimi o ne creano di falsi, spesso simulando piattaforme legate alle criptovalute, per intercettare investitori e trader. Gli attacchi risultano confermati in nazioni come Ucraina, Cina, Arabia Saudita, Turchia e Malesia.

Le versioni di iOS interessate e l'entità del problema

⬆ Torna su

Circa il 25% dei dispositivi Apple attivi utilizza ancora versioni vulnerabili del sistema operativo, un bacino che equivale a centinaia di milioni di terminali potenzialmente esposti. Coruna colpisce in modo confermato i dispositivi iPhone con versioni di iOS comprese tra la 13 e la 17.2.1. DarkSword sfrutta vulnerabilità in iOS 18.4 fino a iOS 18.7. Apple ha saltato volutamente i numeri 19-25 passando direttamente a iOS 26, adottando una numerazione allineata all'anno di riferimento.

Al momento della scoperta di Coruna, circa il 74% degli iPhone aggiornabili aveva già installato una versione corretta del sistema operativo. Apple continua ad aggiornare iOS 18, con iOS 18.7.6 rilasciato nel mese di riferimento. I dispositivi che non supportano iOS 18 o versioni successive dovrebbero essere aggiornati almeno a iOS 15.8.7 o iOS 16.7.15 per disporre delle ultime patch di sicurezza.

La risposta di Apple: patch e mitigazioni

⬆ Torna su

Apple ha riconosciuto il problema e ha fornito indicazioni su come mitigare il rischio. Le contromisure principali includono l'aggiornamento immediato a versioni di iOS successive alla 18.7, dove le vulnerabilità segnalate risultano già corrette. Le patch riguardano sia WebKit, sia componenti di sistema coinvolti nell'escalation dei privilegi. Dal punto di vista tecnico, le mitigazioni si basano su miglioramenti nella gestione della memoria, rafforzamento delle sandbox e controlli più stringenti sui processi che interagiscono con dati sensibili.

L'11 marzo Apple ha distribuito update di sicurezza specifici per iOS 15 e iOS 16. Tutti i modelli di iPhone in grado di far girare iOS 13 o iOS 14 sono tecnicamente compatibili con iOS 15. Nei prossimi giorni, i dispositivi non aggiornati riceveranno un avviso speciale a tutto schermo per forzare l'installazione di un aggiornamento di sicurezza critico.

Modalità Isolamento e protezioni aggiuntive

⬆ Torna su

Un ulteriore livello difensivo deriva dall'uso della Modalità di isolamento Apple o Lockdown Mode, disponibile a partire da iOS 16. Questa funzione limita l'esecuzione di codice nei contenuti Web e riduce la superficie di attacco. La modalità introduce severe restrizioni su JavaScript e rendering, rendendo più difficile l'exploit di vulnerabilità browser-based. I ricercatori indicano che Coruna interrompe l'esecuzione se rileva la Lockdown Mode attiva.

Apple protegge attivamente i suoi utenti anche attraverso la funzione Navigazione Sicura integrata nativamente in Safari e attivata di default. Questo sistema blocca preventivamente l'accesso ai domini URL malevoli già identificati e associati agli attacchi. Gli utenti possono inoltre abilitare l'autenticazione a due fattori per l'Apple ID, aggiungendo un passaggio di sicurezza supplementare per evitare furti di dati o accessi non autorizzati.

La vulnerabilità CVE-2025-43300 e ImageIO

⬆ Torna su

Apple ha corretto anche una vulnerabilità critica, nota come CVE-2025-43300, che risiede nel framework ImageIO, un componente dedicato alla gestione e all'elaborazione delle immagini interno al sistema. Un file immagine manipolato può corrompere la memoria, permettendo agli attaccanti l'esecuzione di codice arbitrario sul dispositivo della vittima. Apple ha confermato casi in cui aggressori hanno sfruttato la vulnerabilità per sferrare attacchi mirati. Bastava ricevere e aprire un'immagine per attivare l'exploit.

Gli aggiornamenti da effettuare sono iOS 18.6.2 per iPhone, macOS Sequoia 15.6.1 per Mac e iPadOS 18.6.2 per iPad. Apple consiglia anche gli update per le versioni precedenti: iPadOS 17.7.10, macOS Sonoma 14.7.8 e macOS Ventura 13.7.8. Anche su Android è possibile ridurre il rischio di questo tipo di attacchi disabilitando l'anteprima delle immagini sulle app di messaggistica.

Considerazioni sulla sicurezza mobile

⬆ Torna su

DarkSword e Coruna evidenziano un limite strutturale nella sicurezza mobile: la dipendenza da componenti condivisi come WebKit. Anche con sandbox robuste, una catena di vulnerabilità ben costruita può attraversare diversi livelli di protezione. La velocità di aggiornamento da parte degli utenti diventa quindi un fattore critico. Il modello di attacco basato su esfiltrazione rapida potrebbe diffondersi ulteriormente: riduce i rischi per gli attaccanti e rende meno efficaci molte tecniche di rilevamento tradizionali.

I ricercatori considerano espressamente sicura nei confronti di DarkSword e attacchi simili la release iOS 18.7.6 e iOS 26. La combinazione tra exploit Web, accesso a dati riservati e assenza di tracce durature indica una direzione precisa nello sviluppo degli strumenti offensivi. Non serve più mantenere il controllo del dispositivo quando è possibile ottenere tutto con un attacco di pochi minuti.

Questo articolo è una sintesi basata esclusivamente sulle fonti elencate.

Implicazioni e scenari

⬆ Torna su

La concentrazione di dispositivi obsoleti rappresenta un bersaglio ampio per campagne di cybercriminalità. L'evoluzione dagli exploit kit da spionaggio mirato a operazioni di massa suggerisce una diffusione progressiva delle capacità offensive.

  • Scenario 1: gli aggressori potrebbero intensificare gli attacchi tramite siti compromessi fintantoché la percentuale di dispositivi aggiornati rimane significativa.
  • Scenario 2: il targeting specifico di wallet e frasi di recupero potrebbe espandersi ad altri asset digitali, ampliando la superficie economica delle vittime.
  • Scenario 3: l'adozione della Modalità di isolamento potrebbe diventare raccomandazione standard per categorie ad alto rischio, riducendo l'efficacia delle catene di exploit.

Cosa monitorare

⬆ Torna su
  • Velocità di adozione delle patch di sicurezza tra la base utenti.
  • Eventuali nuove varianti degli exploit kit che aggirino le protezioni attuali.
  • Segnalazioni di campagne in nuove aree geografiche oltre a quelle già documentate.

Nota editoriale: questa sezione propone una lettura analitica dei temi trattati, senza introdurre dati fattuali non presenti nelle fonti.

Fonti

⬆ Torna su

In breve

  • cybersecurity
  • exploit
  • apple
  • vulnerabilita

Link utili

Apri l'articolo su DeafNews