Recentemente, a Agência de Segurança de Infra-estruturas e Cibersegurança dos EUA (CISA) deu a ordem às agências federais de adesivos com urgência três vulnerabilidades do iOS que estavam sendo exploradas em campanhas direcionadas ao roubo de criptomoedas e à ciber-espionagem. A instrução, que responde a uma descoberta recente sobre um kit de exploração móvel chamado DarkSword, obriga a que as equipes do Executivo federal apliquem as correções em um prazo muito curto e coloca novamente sobre a mesa a fragilidade dos dispositivos quando não se mantêm atualizados.
Pesquisadores de diferentes grupos, entre eles a equipe de inteligência sobre ameaças do Google e especialistas independentes, têm desencorajado que a DarkSword não é uma falha isolada, mas uma cadeia complexa de falhas que, combinados, permitem a um atacante escapar das restrições de sandbox, escalar privilégios e executar código de forma remota em iPhones sem parchar. Os erros envolvidos estão registrados sob várias identificações CVE – entre elas CVE-2025-31277, CVE-2025-43510 e CVE-2025-43520 – e a Apple já resolveu esses problemas nas versões recentes do iOS. Você pode consultar o aviso de CISA com os detalhes oficiais no seu site: CISA alerta sobre vulnerabilidades exploradas ativamente, e a entrada em seu catálogo de vulnerabilidades conhecida está disponível aqui: catálogo de vulnerabilidades.
O que fazia DarkSword e por que é perigoso? DarkSword atua como um marco de entrega: através de uma cadeia de exploits aproveita falhas no sistema operacional para introduzir uma carga maliciosa no dispositivo. As análises feitas por várias assinaturas de segurança identificaram três famílias de malware que chegaram nessas campanhas: uma infostealer escrita em JavaScript com comportamento muito agressivo, um backdoor desenhado para exfiltrar grandes quantidades de informação e outro módulo JavaScript que executa código e rouba dados. Estas peças, combinadas com a capacidade de execução remota do exploit, tornam um iPhone vulnerável em uma fonte direta de credenciais, arquivos e dados privados.
Uma característica marcante do kit DarkSword é sua inteligência operacional: depois de obter e exfiltrar a informação, o exploit apaga rastros temporários e fecha-se. Este padrão sugere que foi pensado para operações de vigilância de curta duração e para dificultar a detecção forense, em vez de permanecer latente nos dispositivos durante longos períodos.
Além das análises técnicas, as pesquisas têm traçado conexões entre o uso de DarkSword e vários grupos de ameaças. Entre eles estão atores conhecidos por trabalhar com fornecedores comerciais de vigilância e atores supostamente vinculados a serviços de inteligência. A empresa de segurança móvel Lookout, que identificou e documentou partes da infraestrutura e sua relação com outro kit chamado Coruna, explica que as campanhas parecem misturar objetivos de espionagem e de lucro, incluindo atores que poderiam operar para interesses estaduais e atores com motivações financeiras. O relatório do Lookout oferece contexto e resultados técnicos: Análise de DarkSword por Lookout.
Um caso concreto observado pelos pesquisadores envolve ataques de tipo watering-hole: iPhones de usuários que navegavam por sites compromissados da Ucrânia (comércios eletrônicos, empresas de equipamentos industriais e serviços locais) foram redirecionados para receber exploits tanto de DarkSword como de Coruna. Nesses incidentes foram detectadas as três famílias de malware mencionadas e a atividade foi rastreada até grupos com nomes internos usados por equipes de inteligência sobre ameaças.
A resposta da CISA e o calendário forçado marca a diferença: CISA incluiu três dos CVE utilizados por DarkSword na sua lista de vulnerabilidades exploradas e, amparada pela Directiva Operativa Vinculante BOD 22-01, ordenou às agências federais remediar as falhas em um prazo de duas semanas, com data limite em 3 de abril. A mensagem não é apenas para o setor público. Embora a directiva só obriga as agências federais, a CISA deixou claro que as organizações privadas também deveriam priorizar a atualização das suas frotas de dispositivos para evitar incidentes semelhantes.
A medida de CISA destaca uma realidade clara para administradores de TI e usuários: quando se conhecem exploits desse tipo, o remédio mais eficaz é aplicar as atualizações do fabricante. A Apple publicou adesivos que corrigem estas vulnerabilidades; manter o iOS atualizado é a defesa primária. Para revisar as atualizações de segurança da Apple, você pode consultar sua página oficial: Actualizações de segurança da Apple.
Embora a campanha que motivou o alerta já tenha atenuações técnicas disponíveis nas versões mais recentes do sistema operacional, as lições vão além do adesivo pontual. Esses incidentes evidenciam como as cadeias de exploração sofisticadas combinam engenharia técnica com táticas de engano e escolha de vetores (como sites populares apontados) para maximizar impacto. Eles também mostram como o ecossistema de vigilância comercial pode se entrelaçar com atores estatais e criminosos, complicando a atribuição e colocando riscos a usuários em todo o mundo.
O que as empresas e os utilizadores podem fazer? A recomendação mais contundente é simples: atualizar iPhones para a versão do iOS mais recente que inclua as correções. Para além disso, as organizações devem rever a configuração de navegação e bloqueio de conteúdo, utilizar detecção de anomalias para tráfego e downloads incomuns, e validar que as práticas de resposta a incidentes incluam a revisão de dispositivos móveis. Para um resumo adicional e cobertura jornalística sobre o alerta e suas implicações, meios especializados publicaram relatos úteis que contextualizam o evento: por exemplo, publicações tecnológicas que cobriram a ação da CISA e a análise dos kits de exploração.
Em suma, a DarkSword é um lembrete de que os telefones, embora fechados e muito controlados pelos seus fabricantes, continuam sendo alvo de campanhas avançadas quando há falhas sem adesivo. Actualizar, auditar e educar Ainda são as ferramentas mais eficazes para reduzir o risco para ameaças que combinam exploração técnica e campanhas de engenharia social.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...
PinTheft o exploit público que pode ser root no Arch Linux
Um novo exploit público levou à superfície novamente a fragilidade do modelo de privilégios no Linux: a equipe de V12 Security baniu a falha como PinTheft e publicou um teste de...