SlowMist подтверждает атаки DarkSword в дикой природе: пользователям iOS 15 и выше Apple нужно обновиться

Сооснователь «慢霧» Юй Сюань (余弦) 15 мая в X подтвердил, что высокорисковая iOS-атакующая платформа DarkSword уже опубликована через такие каналы, как GitHub, и используется для массовых краж ключей у владельцев криптокошельков. Атаки нацелены на устройства Apple с iOS 18.4–18.7. Apple подтвердила, что пользователям iOS 13 или iOS 14 необходимо обновиться до iOS 15, чтобы получить защиту.

Механика атаки DarkSword: подтверждённые Юй Сюанем сценарии

Согласно подтверждению Юй Сюаня в X, сценарии атаки DarkSword следующие:

Предпосылки атаки (не нужно закрывать вредоносную страницу): Жертва должна открыть в браузере Safari вредоносную страницу следующих типов и держать её открытой:

· фишинговая страница порно-стриминга

· страница энергетических станций TRON

· страница, маскирующая процесс возврата средств

· страница, маскирующая предупреждение об уязвимости

Триггер атаки: Пока в Safari открыта вредоносная страница, если жертва разблокирует приложение криптокошелька, вредоносный JavaScript-код может похитить открытые ключи (private keys) и seed-фразы (助记词) кошелька и сразу же отправить их атакующему.

Юй Сюань подтвердил: «У меня уже есть некоторые образцы атак в дикой природе», и отметил, что SlowMist «в зависимости от ситуации решит, когда раскрывать» дополнительные технические детали.

Какие пользователи уже защищены и какие действия нужно предпринять немедленно

Согласно подтверждению в официальных документах Apple:

Уже защищены (дополнительные действия не требуются): устройства с iOS 15–iOS 26, на которых установлено последнее обновление

Нужно немедленно предпринять действия:

· устройства с iOS 18.4–iOS 18.7, на которых ещё не установлены последние защитные исправления: немедленно установите обновление в «Настройки» > «Основные» > «Обновление ПО»

· устройства с iOS 13 или iOS 14: необходимо обновиться до iOS 15, чтобы получить защиту

Дополнительные меры безопасности (официальное подтверждение Apple):

· функция Safari «Безопасный просмотр» (по умолчанию включена) может блокировать идентифицированные домены вредоносных URL

· для пользователей с высоким риском или тех, кто не может обновить устройство, Apple рекомендует включить «Режим блокировки» (Lockdown Mode)

Apple в документации поддержки прямо указывает: «Если вы обновили ПО iPhone до последней версии, то ваше устройство уже защищено».

Частые вопросы

Нужны ли пользователю какие-то действия по клику, чтобы атака DarkSword сработала?

Согласно подтверждению Юй Сюаня, жертве достаточно использовать браузер Safari для посещения вредоносной страницы и держать её открытой, а затем, не закрывая страницу, разблокировать приложение криптокошелька — private key могут быть похищены. Пользователю не нужно выполнять никаких конкретных кликов.

Как пользователи iOS 13 или iOS 14 могут получить защиту?

Согласно официальным документам Apple, пользователи iOS 13 или iOS 14 должны обновиться до iOS 15 (или более новой версии), чтобы получить защиту от DarkSword. Apple выпустила защитные обновления iOS 15 и iOS 16, чтобы обеспечить дополнительную защиту для устройств со старой версией, которые невозможно обновить до актуальной.

Если обновить устройство невозможно, какие есть альтернативные меры защиты?

Согласно рекомендациям Apple, для пользователей, которые не могут обновить устройство, Apple рекомендует включить «Режим блокировки» (Lockdown Mode), чтобы предотвратить вредоносный сетевой контент и другие угрозы. Кроме того, убедитесь, что в Safari включена функция «Безопасный просмотр» (по умолчанию включена), — она блокирует часть идентифицированных вредоносных доменов.