DarkSowrd和Coruna是針對iOS的新惡意程式,網絡犯罪份子改造政府情報工具,向iOS裝置展開隱形攻擊,不需要用戶的互動,而且有別以往只針對高價值人士,DarkSword和Coruna採取大規模感染一般用戶的策略。
DarkSword瞄準用戶的方法
在今年3月中,三組不同的研究團隊團合發份新間諜程式DarkSword的報告,它能靜悄悄地駭入iOS 18的裝置,用戶完全察覺不到。雖然現在最新版本是iOS 26,但它的前一代其實就是iOS 18,照估計至少四份之一活躍裝置仍然在使用iOS 18或以前的版本。
研究顯示惡意受害者在訪問被加入惡意程式碼的完全合法的網站時被感染,間諜程式安裝自己而不需要用戶任何戶動,為了入侵裝置,DarkSword連環使用了六個安全漏洞,從躲避沙盒、提升權限以至執行程式嗎,一旦成功進入便會收集裝置上的密碼、照片、WhatsApp和Telegram的對話和數據、瀏覽器記錄和Apple的Calendar、Notes和Health應用程式的資料,還有加密錢包的資料,令它能達成間諜工具和盜竊加密貨幣兩種目標。唯一好消息是間諜程式無法抵禦重裝裝置,由於DarkSword是無檔案惡意程式,它生存於裝置的RAM,並沒有嵌入到檔案系統內。
Coruna:針對較舊iOS版本
在DarkSword的報告公開前的兩週,有研究人員發現了Coruna,它能入侵較舊版軟件的裝置,特別是iOS 13至17.2.1,它與DarkSword的入侵方式完全相同,同樣是訪問被加入惡意程式碼的合法網站時遭感染,整個過程完全隱形而且無需用戶的互動,Coruna使用了23種不同的iOS安全漏洞,部份被舊在Apple的WebKit,它是iOS瀏覽器所需的引擎,意味著不但感染Safari用戶,即使第三方瀏覽器使用者也無法倖免。
最新版本的Coruna具備盜竊加密錢包功能,也會收集照片,以及在某些情況下收集電郵數據,研究人員認為它的主要目的是盜竊加密貨幣。
原身是政府情報工具
儘管Coruna和DarkSword似乎是由不同的開發者所創建,但程式的原身都是由國家支援的公司所創造,是經過精心設計地利用漏洞,只是原因不明的情況下落入網絡犯罪份子的手中,經專家分析後確定它是Operation Triangulation的更新版本,詳細資料可瀏覽Securelist。其中一種說法是開發Coruna的公司其中一位員工把它出售予黑客,然後惡意程式被利用來攻擊中國的加密錢包用戶,估計至少4萬2千部裝置被感染。
DarkSword方面,犯罪份子已用它來攻擊沙地阿拉伯、土耳其和馬來西亞用戶,首次使用DarkSword發動攻擊的人把完整的原始碼留在被感染的網站,這音味著其他犯罪組織能夠輕鬆地「撿」到,原始碼含有詳細的英文說門,解釋各元件的功用,這種逐步說明令其他黑客能簡單利用惡意程式達到自己的目的。
防範Coruna和DarkSword
由於用戶只要在不對的時間訪問不對的網站,無需任何其他互動便會被Coruna或DarkSword感染,而且面向公眾,目標不再只限高風險人士。最好的防範方法是盡快把裝置更新至iOS或iPadOS 26,如果因為裝置較不支援iOS 26,仍然應該安裝可行的最新版本,Apple罕見地對大量較舊的操作系統推出了補丁。
為應對將來類似的惡意程式出現,我們建議:
- 定期更新所有Apple裝置,堵塞已知的安全漏洞。
- 啟動Background Security Improvements,這功能讓裝置接收重要安全修復,降低被黑客利用的機會。
- 考慮使用Lockdown Mode,這較高的保安設定限制部份裝置功能,同時能阻止複雜攻擊。
- 每日重啟裝置,令無檔案惡意程式無法停留在裝置內。
- 使用加密儲存敏感資料,例如加密錢包鑰匙、身份證照片和機密資料。
資料來源:Kaspersky Blog
