DarkSwordは、インフォスティーラー型マルウェアです。
多くの感染端末が観測されています。
どういったものなのでしょうか。
- ターゲットは古いiOS端末
DarkSwordの狙う環境は、iOS 18.4から18.6の端末です。
iOSそのものはもっと新しいものもすでに提供されていますが、世代の古い機種向けには現在も18系のiOSが利用されています。
第2世代のiPhone SEなどの2020年くらいまでにリリースされた機種がこれに相当します。 - はじまりはWebサイトの閲覧
感染はWebサイトの閲覧から始まります。
悪意のあるiframeが仕込まれたWebサイトを訪問した人が対象となります。
コンテンツが読み込まれると、提供されて安全に利用できるはずのWebContentサンドボックスを抜け出して動作を開始します。
そしてmediaplaybackdに悪意あるコードを差し込み、特権昇格します。
特権昇格できると、マルウェアのコードはコマンド実行を実施します。 - 情報収集と持ち出し
展開された各種ペイロードは、パスワードや鍵情報などの機密情報を収集します。
デバイスから取得されたデータ、メール、暗号通貨ウォレット、ユーザ名、パスワード、写真、その他のファイルなど多くの情報をまとめてC2サーバに送信します。
DarkSwordは、多くの脆弱性を悪用します。
これにより、対象とするデバイスの範囲を広く持つことになります。
CVE-2025-31277、CVE-2025-43529、CVE-2026-20700、CVE-2025-14174、CVE-2025-43510、CVE-2025-43520です。
これらは、iOSの18.7.2や18.7.3で対策が提供されているものもありますが、なかにはiOS26.3でしか対策が提供されていないものもあります。
やがて18系でも対策が提供されることになるかもしれませんが、古い機種は安全な状態にすることが簡単ではないといえそうです。
利用できる更新は速やかに適用しましょう。
そしてサポートの終了した機器を継続利用した状態となってしまうことがないよう、計画的に機種の入れ替えを進めていくのがよさそうです。
Attackers Wielding DarkSword Threaten iOS Users
https://www.lookout.com/threat-intelligence/article/darksword
| この記事をシェア |
|
|---|
