DarkSword : second logiciel espion ciblant l’iPhone DarkSword est le second logiciel espion ciblant l’iPhone, opérant via des sites compromis et visant notamment les crypto-actifs et les données personnelles. DarkSword est le second logiciel espion ciblant les iPhone dévoilé par des chercheurs en sécurité.
DarkSword est le second logiciel espion ciblant les iPhone dévoilé par des chercheurs en sécurité. Déployé via des sites web compromis dans le cadre d’attaques Watering Hole, il peut pirater des iPhone visitant ces sites sans interaction utilisateur. Des rapports d’iVerify, Lookout et du Google Threat Intelligence Group décrivent une menace sophistiquée, associée à des acteurs étatiques russes et à des cybercriminels chinois.
Comment DarkSword opère et ce que disent les rapports
Selon les analyses, DarkSword exploite six vulnérabilités distinctes pour déployer ses charges utiles et a donné naissance à trois familles malveillantes après une intrusion réussie : GHOSTBLADE, GHOSTKNIFE et GHOSTSABER. Comparé à Coruna, DarkSword vise un ensemble plus restreint de versions iOS, précisément 18.4 à 18.7. Malgré des mécanismes d’exploitation techniquement avancés, le chargement des exploits apparaît moins robuste que celui de Coruna, selon Google.
Lookout Threat Labs évoque une « chaîne d’exploitation iOS complète » destinée à extraire un ensemble important d’informations personnelles. L’objectif inclut notamment les identifiants de l’appareil et une focalisation sur diverses applications de portefeuilles cryptographiques, ce qui suggère une motivation financière de l’auteur de la menace.
Ce que DarkSword cible concrètement
Les plateformes d’échange de cryptomonnaies et les portefeuilles crypto constituent des cibles majeures, avec Coinbase, Binance, Kraken, Kucoin, Okx et Mexc mentionnés comme exemples. Des portefeuilles tels que Ledger, Trezor, Metamask, Exodus, Uniswap, Phantom et Gnosis Safe figurent également parmi les cibles potentielles.
Sur le plan des données, DarkSword peut récupérer des mots de passe, cookies, SMS, e-mails, photos (y compris celles cachées), la liste des applications installées, les journaux d’iMessage, WhatsApp et Telegram, l’historique de navigation et de géolocalisation, les appels, les données iCloud Drive, le calendrier et les Notes, ainsi que les données de l’application Santé d’Apple. L’objectif est une exfiltration rapide des informations avant un nettoyage des traces.
Contexte et limites
La découverte de DarkSword s’inscrit dans un contexte où des outils coûteux d’exploitation sont souvent associés à des acteurs étatiques et à des entreprises fournissant des solutions pour les forces de l’ordre et les services de renseignement. D’après Lookout, l’approche « coup de poing » de DarkSword consiste à collecter et exfiltrer rapidement les données ciblées, puis à effacer les traces peu après l’intrusion.
En comparaison avec Coruna, DarkSword est moins polyvalent côté versions iOS visées, mais l’intensité et la vitesse de l’exfiltration restent marquées. Les implications financières et opérationnelles restent préoccupantes pour les utilisateurs et les plateformes crypto.
Pour terminer
Cette découverte souligne que les attaques contre les smartphones et les actifs numériques ne faiblissent pas. Il faudra surveiller l’évolution des outils d’exploitation et les défenses apportées par Apple et les plateformes crypto, afin d’anticiper les nouvelles variantes et les vecteurs d’infection potentiels.
