{"id":16643,"date":"2026-03-20T11:27:08","date_gmt":"2026-03-20T14:27:08","guid":{"rendered":"https:\/\/fenati.org.br\/?p=16643"},"modified":"2026-03-20T15:07:20","modified_gmt":"2026-03-20T18:07:20","slug":"ferramenta-espionagem-iphones-falhas-criticas-no-ios","status":"publish","type":"post","link":"https:\/\/fenati.org.br\/en\/ferramenta-espionagem-iphones-falhas-criticas-no-ios\/","title":{"rendered":"Ferramenta de espionagem mira iPhones com 6 falhas cr\u00edticas no iOS"},"content":{"rendered":"<p><strong>iPhones &#8211;<\/strong> Um sofisticado kit de explora\u00e7\u00e3o voltado ao sistema iOS tem sido utilizado por fornecedores de vigil\u00e2ncia comercial e cibercriminosos ligados a governos para invadir iPhones e roubar dados pessoais de usu\u00e1rios. A ferramenta, chamada DarkSword, j\u00e1 foi identificada em campanhas direcionadas no Oriente M\u00e9dio, na \u00c1sia e na Ucr\u00e2nia.<\/p>\n<p>O DarkSword \u00e9 um kit de explora\u00e7\u00e3o de cadeia completa que combina seis vulnerabilidades distintas, sendo quatro delas classificadas como falhas zero-day, ou seja, desconhecidas at\u00e9 ent\u00e3o por profissionais de seguran\u00e7a. O objetivo \u00e9 alcan\u00e7ar o comprometimento total de dispositivos que operam com vers\u00f5es do iOS entre 18.4 e 18.7.<\/p>\n<p><a href=\"https:\/\/fenati.org.br\/receita-programa-ir-2026-novidades-declaracao\/\" target=\"_blank\" rel=\"noopener\"><strong>LEIA: Receita libera programa do IR 2026 e detalha novidades da declara\u00e7\u00e3o<\/strong><\/a><\/p>\n<p>A cadeia de ataque opera inteiramente em <a href=\"https:\/\/pt.wikipedia.org\/wiki\/JavaScript\" target=\"_blank\" rel=\"noopener nofollow\">JavaScript<\/a>, o que permite contornar mecanismos de prote\u00e7\u00e3o da Apple, como a Page Protection Layer (PPL) e o Secure Page Table Monitor (SPTM), respons\u00e1veis por impedir a execu\u00e7\u00e3o de c\u00f3digos n\u00e3o assinados.<\/p>\n<p>A identifica\u00e7\u00e3o do nome da ferramenta foi feita pelo Grupo de Intelig\u00eancia de Amea\u00e7as do Google (GTIG), em conjunto com as empresas iVerify e Lookout, a partir de marcas encontradas nas cargas \u00fateis analisadas. As organiza\u00e7\u00f5es confirmaram o uso do kit em ataques direcionados contra v\u00edtimas na Ar\u00e1bia Saudita, Turquia, Mal\u00e1sia e Ucr\u00e2nia.<\/p>\n<p><strong>Como funciona a cadeia de explora\u00e7\u00e3o<\/strong><\/p>\n<p>A sequ\u00eancia de ataques come\u00e7a com a explora\u00e7\u00e3o de execu\u00e7\u00e3o remota de c\u00f3digo (RCE) no JavaScriptCore, mecanismo utilizado pela Apple no Safari e no WebKit. Em seguida, o processo inclui duas etapas de fuga da sandbox, uma escalada de privil\u00e9gios local e, por fim, a implanta\u00e7\u00e3o da carga maliciosa, garantindo acesso completo ao n\u00edvel do kernel do sistema.<\/p>\n<p>Uma das falhas centrais, identificada como CVE-2026-20700, envolve a omiss\u00e3o do C\u00f3digo de Autentica\u00e7\u00e3o de Ponteiro (PAC) no vinculador din\u00e2mico dyld da Apple. Essa vulnerabilidade foi explorada em conjunto com as falhas de RCE e corrigida apenas no iOS 26.3, ap\u00f3s ser reportada pelo GTIG.<\/p>\n<p><strong>Malwares exploram o acesso obtido<\/strong><\/p>\n<p>Ap\u00f3s a invas\u00e3o, tr\u00eas fam\u00edlias de malware distintas foram identificadas pelo Google como parte das opera\u00e7\u00f5es de p\u00f3s-explora\u00e7\u00e3o, cada uma adaptada a objetivos espec\u00edficos.<\/p>\n<p>O GHOSTKNIFE, associado ao grupo UNC6748, \u00e9 distribu\u00eddo por meio de um site de phishing que simula o Snapchat (snapshare[.]chat). Trata-se de um backdoor em JavaScript capaz de coletar contas conectadas, mensagens, dados de navega\u00e7\u00e3o, hist\u00f3rico de localiza\u00e7\u00e3o e at\u00e9 grava\u00e7\u00f5es de \u00e1udio. Ele utiliza comunica\u00e7\u00e3o criptografada com servidores de comando e controle e apaga registros do sistema para dificultar a detec\u00e7\u00e3o.<\/p>\n<p>J\u00e1 o GHOSTSABER, ligado \u00e0 empresa turca PARS Defense, foi usado em campanhas na Turquia e na Mal\u00e1sia. O malware suporta mais de 15 comandos remotos, incluindo extra\u00e7\u00e3o de arquivos, consultas a bancos de dados SQLite e envio de miniaturas de fotos. Parte de suas funcionalidades sugere o uso de m\u00f3dulos adicionais carregados dinamicamente.<\/p>\n<p>O terceiro, GHOSTBLADE, \u00e9 atribu\u00eddo ao suposto agente russo UNC6353 e atua como um coletor abrangente de dados. Ele extrai informa\u00e7\u00f5es de aplicativos como iMessage, Telegram e WhatsApp, al\u00e9m de acessar carteiras de criptomoedas, hist\u00f3rico do Safari, bancos de dados de sa\u00fade, senhas de Wi-Fi e localiza\u00e7\u00e3o do usu\u00e1rio. Embora n\u00e3o funcione de forma persistente, seu alcance o torna valioso para opera\u00e7\u00f5es de intelig\u00eancia.<\/p>\n<p>Um detalhe que chamou a aten\u00e7\u00e3o dos pesquisadores foi a presen\u00e7a, no c\u00f3digo, de uma fun\u00e7\u00e3o chamada startSandworm(), ainda sem implementa\u00e7\u00e3o, possivelmente indicando um novo exploit em desenvolvimento.<\/p>\n<p><strong>Distribui\u00e7\u00e3o e alcance global<\/strong><\/p>\n<p>Os diferentes grupos respons\u00e1veis pelas campanhas adotaram estrat\u00e9gias pr\u00f3prias para disseminar o DarkSword. O UNC6748 utilizou sites falsos com carregadores JavaScript ofuscados e mecanismos para evitar reinfectar as mesmas v\u00edtimas.<\/p>\n<p>A PARS Defense implementou criptografia nas etapas do ataque por meio de troca de chaves ECDH, demonstrando maior sofistica\u00e7\u00e3o operacional. J\u00e1 o grupo UNC6353 inseriu c\u00f3digos maliciosos em sites ucranianos comprometidos, utilizando iFrames ocultos para carregar o exploit de forma silenciosa.<\/p>\n<p>Um coment\u00e1rio em russo encontrado no c\u00f3digo refor\u00e7a a liga\u00e7\u00e3o com esse \u00faltimo grupo, que j\u00e1 havia sido associado ao kit de explora\u00e7\u00e3o Coruna para iOS. O GTIG continua trabalhando com o CERT-UA para conter a campanha, que seguia ativa at\u00e9 mar\u00e7o de 2026.<\/p>\n<p><strong>Corre\u00e7\u00f5es e recomenda\u00e7\u00f5es<\/strong><\/p>\n<p>As vulnerabilidades exploradas pelo DarkSword foram reportadas \u00e0 Apple no final de 2025. Todas as seis falhas foram corrigidas, a maioria antes do lan\u00e7amento do iOS 26.3 e o restante junto com a atualiza\u00e7\u00e3o. O Google tamb\u00e9m incluiu os dom\u00ednios utilizados nos ataques em seu sistema Safe Browsing.<\/p>\n<p>Especialistas recomendam que usu\u00e1rios atualizem seus dispositivos para a vers\u00e3o mais recente do sistema operacional. Para aqueles que ainda n\u00e3o t\u00eam acesso \u00e0s atualiza\u00e7\u00f5es, a ativa\u00e7\u00e3o do Modo de Bloqueio \u00e9 indicada como uma medida adicional de prote\u00e7\u00e3o contra esse tipo de amea\u00e7a.<\/p>\n<p>&nbsp;<\/p>\n<p><em><strong>(Com informa\u00e7\u00f5es de Tecmundo)<\/strong><\/em><\/p>\n<p><em><strong>(Foto: Reprodu\u00e7\u00e3o\/Freepik)<\/strong><\/em><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Kit de explora\u00e7\u00e3o \u201cDarkSword\u201d encadeia vulnerabilidades in\u00e9ditas para assumir controle total de iPhones e j\u00e1 foi usado em campanhas de espionagem internacional<\/p>","protected":false},"author":16,"featured_media":16645,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[35],"tags":[13],"class_list":["post-16643","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-ti","tag-sindical"],"_links":{"self":[{"href":"https:\/\/fenati.org.br\/en\/wp-json\/wp\/v2\/posts\/16643","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/fenati.org.br\/en\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/fenati.org.br\/en\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/fenati.org.br\/en\/wp-json\/wp\/v2\/users\/16"}],"replies":[{"embeddable":true,"href":"https:\/\/fenati.org.br\/en\/wp-json\/wp\/v2\/comments?post=16643"}],"version-history":[{"count":1,"href":"https:\/\/fenati.org.br\/en\/wp-json\/wp\/v2\/posts\/16643\/revisions"}],"predecessor-version":[{"id":16646,"href":"https:\/\/fenati.org.br\/en\/wp-json\/wp\/v2\/posts\/16643\/revisions\/16646"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/fenati.org.br\/en\/wp-json\/wp\/v2\/media\/16645"}],"wp:attachment":[{"href":"https:\/\/fenati.org.br\/en\/wp-json\/wp\/v2\/media?parent=16643"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/fenati.org.br\/en\/wp-json\/wp\/v2\/categories?post=16643"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/fenati.org.br\/en\/wp-json\/wp\/v2\/tags?post=16643"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}