SchwachstellenHackerangriffeMalware

DarkSword: Neues iOS-Exploit-Kit bedroht Millionen von Geräten weltweit

DarkSword: Neues iOS-Exploit-Kit bedroht Millionen von Geräten weltweit
Zusammenfassung

Sicherheitsforscher haben ein hochentwickeltes iOS-Exploit-Kit namens „DarkSword" entdeckt, das von staatlich unterstützten Hackern und kommerziellen Spyware-Anbietern eingesetzt wird. Das Exploit-Kit zielt auf sechs Sicherheitslücken in Apples mobiler Plattform ab und führt zu einer vollständigen Kompromittierung des Geräts mit minimalem Benutzereingriff. Die russische staatliche Hackergruppe UNC6353 nutzte DarkSword in Watering-Hole-Angriffen gegen die Ukraine, während kommerzielle Überwachungsanbieter das Kit gegen Benutzer in Saudi-Arabien, der Türkei und Malaysia einsetzten. Das in JavaScript geschriebene Exploit-Kit beginnt mit der Ausnutzung von Safari-Bugs zur Erlangung von Remote-Code-Ausführung, setzt sich durch Sandbox-Escapes fort und nutzt Kernel-Flaws für Privilege Escalation. Die Angreifer können sensible Daten wie Passwörter, Fotos, Messenger-Nachrichten, Kontakte und Kryptowallet-Informationen exfiltrieren. Schätzungen zufolge sind etwa 14 bis 19 Prozent aller iPhone-Nutzer betroffen – das entspricht potenziell bis zu 296 Millionen Geräten. Während Apple Patches bereitgestellt hat, sollten deutsche Nutzer, Unternehmen und Behörden ihre iOS-Versionen dringend auf die neuesten Sicherheitsupdates aktualisieren, um sich vor dieser Bedrohung zu schützen.

Das DarkSword-Exploit-Kit stellt eine neue Bedrohung für die iOS-Sicherheit dar und zeigt die wachsende Sophistikation von Angriffstools, die es sowohl staatlichen Akteuren als auch kommerziellen Cyberkriminellen zur Verfügung stehen. Das Kit wurde komplett in JavaScript geschrieben und folgt einer mehrstufigen Angriffsstrategie, die die Abwehrmechanismen moderner iPhones systematisch aushebelt.

Die Angriffe beginnen mit der Ausnutzung von Safari-Bugs, um Remote Code Execution (RCE) zu erreichen. Danach folgt ein Sandbox-Escape und schließlich die Ausnutzung von Kernel-Flaws zur Ausführung von Privilege-Escalation-Code. Das Kit zielt auf insgesamt sechs identifizierte Sicherheitslücken ab: CVE-2025-31277, CVE-2025-43529, CVE-2025-14174, CVE-2025-43510, CVE-2025-43520 und CVE-2026-20700. Die beiden WebContent-JIT-Bugs CVE-2025-31277 und CVE-2025-43529 ermöglichen zunächst Arbitrary-Memory-Read/Write-Primitives. Das Kit exploitet dann CVE-2026-20700, um Pointer Authentication Codes (PAC) und Trusted Path Read-Only (TPRO)-Schutzmaßnahmen zu umgehen.

Besonders bemerkenswert ist die finale Payload-Phase: Sie funktioniert als Orchestrator für zahlreiche Module zur Datenexfiltration. Das Malware-System extrahiert Passwörter, Fotos, WhatsApp- und Telegram-Nachrichten, SMS, Kontakte, Anruflisten, Browser-Daten, installierte Anwendungen, WLAN-Passwörter, Apple-Health-Daten, Kalender, Notizen und – besonders kritisch – Informationen zu verbundenen Konten und Kryptowallet-Zugangsdaten.

Die bisherige Kampagnenlandschaft zeigt die breite Einsatzfähigkeit des Kits: Die russische Gruppe UNC6353 nutzte DarkSword mit der Malware GhostBlade gegen die Ukraine, der kommerzielle Anbieter UNC6748 setzte die Variante GhostKnife gegen saudi-arabische Nutzer ein, und die türkische Firma PARS Defense nutzte GhostSaber für Angriffe in der Türkei und Malaysia.

Apple hat Patches für alle identifizierten Sicherheitslücken bereitgestellt, die Nutzer sollten auf iOS 18.7.6 oder 26.3.1 aktualisieren. Allerdings warnen die Sicherheitsforscher: Etwa 14,2 Prozent der iPhone-Nutzer (rund 221 Millionen Geräte) sind noch anfällig – im ungünstigsten Fall könnten es fast 20 Prozent (296 Millionen Geräte) sein. Die Tatsache, dass Wasserlochanschläge verwendet werden, macht die Bedrohung besonders tückisch: Nutzer infizieren sich, ohne dass große soziale Manipulation nötig ist, sondern indem sie legitime Websites besuchen, die von Angreifern kompromittiert wurden.

Ähnliche Artikel