Apple kullanıcılarını hedef alan yeni ve son derece sofistike bir siber saldırı dalgası güvenlik araştırmacıları tarafından gün yüzüne çıkarıldı. “DarkSword” adı verilen bu yeni istismar kiti (exploit kit), özellikle iPhone kullanıcılarının kişisel verilerini, mesajlaşma geçmişlerini ve kripto para cüzdanlarını ele geçirmeyi hedefliyor.
DarkSword, iOS 18.4 ile 18.7 arasındaki sürümleri hedef alan bir saldırı çerçevesidir. Bu tehdit, mobil güvenlik şirketi Lookout tarafından, daha önce ortaya çıkan “Coruna” saldırı altyapısı incelenirken keşfedildi. Analiz sürecine Google Tehdit İstihbarat Grubu (GTIG) ve iVerify da katılarak tehdidin kapsamını belirledi.
iVerify tarafından yapılan incelemeler, saldırıda kullanılan tüm teknik kusurların (sandbox kaçışı, yetki yükseltme ve uzaktan kod yürütme) aslında bilinen ve dökümante edilmiş açıklar olduğunu ortaya koydu. Şirket, Apple’ın bu açıkları en son yayınlanan iOS sürümlerinde çoktan giderdiğini vurguladı.
Google (GTIG) raporuna göre, DarkSword en az Kasım 2025’ten beri aktif olarak kullanılıyor. Saldırıların arkasında farklı motivasyonlara sahip aktörler bulunuyor:
- Türkiye ve Malezya: DarkSword’un, Türkiye merkezli ticari gözetleme yazılımı satıcısı PARS Defense ile ilişkili faaliyetlerde kullanıldığı tespit edildi.
- Rusya ve Ukrayna: Rusya bağlantılı olduğu düşünülen UNC6353 grubu, bu kiti Ukraynalı hedeflere karşı kullanırken; UNC6748 grubu ise Suudi Arabistanlı kullanıcıları hedef aldı.
Lookout araştırmacıları, DarkSword’un kod yapısında dikkat çekici bir detay fark etti: Kodun geliştirilmesinde Büyük Dil Modellerinden (LLM/Yapay Zeka) yardım alındığına dair güçlü kanıtlar bulunuyor. Kod içerisindeki açıklayıcı yorum satırları, yazılımın sürdürülebilirliği ve modüler yapısı, profesyonel bir platform olarak tasarlandığını gösteriyor.
Saldırı Safari tarayıcısı üzerinden başlıyor ve cihazda tam yetki elde eden “GHOSTBLADE”, “GHOSTKNIFE” ve “GHOSTSABER” gibi zararlı yazılım ailelerini yayıyor. Bu modüller şu bilgileri hedefliyor:
- Kripto Cüzdanları: Binance, Coinbase, Ledger ve diğer popüler cüzdan verileri.
- Mesajlaşma: WhatsApp, Telegram, iMessage veri tabanları ve SMS’ler.
- Kişisel Veriler: Kayıtlı parolalar, fotoğraflar, rehber, arama geçmişi ve Apple Sağlık verileri.
- Konum ve Bağlantı: Wi-Fi şifreleri, tarayıcı çerezleri ve konum geçmişi.
Araştırmacıların ortak görüşü, güncel olmayan cihazların büyük bir risk altında olduğu yönünde. DarkSword, verileri sızdırdıktan sonra geçici dosyaları silerek izini kaybettiren bir yapıda olduğu için fark edilmesi oldukça zordur.
Alınması Gereken Önlemler:
- Hemen Güncelleyin: iVerify’ın vurguladığı üzere açıklar kapatıldı. Cihazınızı en güncel sürüm olan iOS 26.3.1’e yükseltin.
- Kilitleme Modu: Yüksek risk grubundaki kullanıcıların (gazeteci, siyasetçi vb.) iOS’taki “Kilitleme Modu” (Lockdown Mode) özelliğini aktif etmeleri öneriliyor.
- Safari Güvenliği: Kaynağı belirsiz bağlantılardan ve şüpheli web sitelerinden uzak durun.
