Onderzoekers hebben een nieuwe aanvalskit ontdekt die iPhones kan compromitteren via besmette websites, zonder dat gebruikers iets merken of installeren.
De tool, DarkSword, installeert zichzelf op iPhones via een bestandsloze techniek. Daarna worden er gegevens gestolen zoals WhatsApp-berichten en wachtwoorden. Dat werd ontdekt door onder meer Google Threat Intelligence Group, Lookout en iVerify en wordt al actief gebruikt in meerdere landen.
Aanval via besmette websites
In plaats van gerichte phishingaanvallen gebruikt DarkSword een zogenoemde watering hole-aanpak, weet Techrepublic. Daarbij worden websites gehackt die doelwitten al bezoeken, en zo geraken bezoekers automatisch geïnfecteerd. Zo werden Oekraïense nieuws- en overheidswebsites gebruikt om bezoekers met iPhones aan te vallen die draaien op oudere iOS-versies (18.4 tot 18.6.2).
Fileless aanval steelt gevoelige data
De aanval is opvallend omdat ze bestandsloos werkt. Er wordt geen malware geïnstalleerd op het toestel, maar bestaande iOS-processen worden misbruikt om data te stelen. In een paar minuten kan de tool wachtwoorden uit iCloud Keychain, berichten uit iMessage, WhatsApp en Telegram, foto’s, e-mails en browsergeschiedenis, gezondheidsdata en notities verzamelen.
Daarnaast richt de aanval zich expliciet op cryptowallets zoals Coinbase en MetaMask. Als de aanval is uitgevoerd, verwijderd de tool sporen zoals crashlogs en tijdelijke bestanden. Nadat gebruikers hun iPhone herstarten is de malware verdwenen, maar de gestolen data blijft weg.