Des chercheurs ont découvert un nouveau kit dattaque capable de compromettre des iPhones via des sites web infectés, sans que les utilisateurs ne remarquent ou ninstallent quoi que ce soit.
L’outil, DarkSword, s’installe sur les iPhones via une technique sans fichier. Ensuite, des données telles que les messages WhatsApp et les mots de passe sont dérobées. Cela a été découvert, entre autres, par le Google Threat Intelligence Group, Lookout et iVerify, et est déjà activement utilisé dans plusieurs pays.
Attaque via des sites web infectés
Au lieu d’attaques de phishing ciblées, DarkSword utilise une approche dite de « watering hole » (point d’eau), rapporte Techrepublic. Dans ce cadre, des sites web que les cibles consultent déjà sont piratés, et les visiteurs sont ainsi automatiquement infectés. Par exemple, des sites d’actualités et gouvernementaux ukrainiens ont été utilisés pour attaquer les visiteurs munis d’iPhones fonctionnant sous d’anciennes versions d’iOS (18.4 à 18.6.2).
Une attaque sans fichier dérobe des données sensibles
Lattaque est remarquable car elle fonctionne sans fichier. Aucun logiciel malveillant nest installé sur lappareil, mais les processus iOS existants sont détournés pour voler des données. En quelques minutes, loutil peut collecter des mots de passe du trousseau iCloud, des messages diMessage, WhatsApp et Telegram, des photos, des e-mails, lhistorique de navigation, des données de santé et des notes.
De plus, lattaque cible explicitement les portefeuilles de cryptomonnaies tels que Coinbase et MetaMask. Une fois lattaque exécutée, loutil efface les traces telles que les journaux de plantage et les fichiers temporaires. Après le redémarrage de liPhone par lutilisateur, le malware disparaît, mais les données volées restent perdues.