iPhone e la fine dell’invincibilità: uno sguardo a DarkSword e Coruna

L’emergere di DarkSword e Coruna, due nuovi malware per iOS, mostra come gli strumenti di intelligence di un governo possono diventare armi nelle mani dei criminali informatici. Analizziamo come funzionano questi attacchi, perché sono pericolosi e come non farsi infettare.

Hacker sfruttano strumenti trapelati dei servizi di intelligence per prendere di mira gli utenti iOS

DarkSword e Coruna sono due nuovi strumenti per sferrare attacchi invisibili nei dispositivi iOS. Non richiedono l’interazione dell’utente e sono attivamente in uso da parte di malintenzionati. Prima che queste minacce emergessero, la maggior parte degli utenti di iPhone non perdeva il sonno per la sicurezza dei dati. Tale preoccupazione era limitata a un ristretto gruppo (politici, attivisti, diplomatici, dirigenti aziendali di alto livello e altri gestori di dati estremamente sensibili) che poteva essere preso di mira da agenzie di intelligence straniere. Abbiamo già parlato di spyware sofisticati usati contro questi soggetti, facendo notare quanto fosse difficile mettervi mano.

Ma DarkSword e Coruna, scoperti dai ricercatori all’inizio di quest’anno, stanno cambiando le carte in tavola. Questi malware vengono usati per infettare gli utenti in massa. In questo post analizziamo il motivo per cui si è verificato questo cambio di passo, perché questi strumenti sono così pericolosi e cosa fare per rimanere protetti.

Cosa sappiamo di DarkSword e come può prendere di mira gli iPhone

A metà marzo 2026 tre distinti team di ricerca hanno coordinato la pubblicazione dei risultati su un nuovo ceppo di spyware chiamato DarkSword. Questo strumento è in grado di hackerare silenziosamente i dispositivi che eseguono iOS 18 senza che l’utente si accorga che qualcosa non va.

Innanzitutto, dovremmo chiarire un po’ di confusione: iOS 18 non è vintage come potrebbe sembrare. Anche se la versione più recente è iOS 26, Apple ha recentemente revisionato il proprio sistema di controllo delle versioni, che ha sbalordito tutti. Ha deciso di anticipare otto versioni, dalla 18 direttamente alla 26, in modo che il numero del sistema operativo corrisponda all’anno in corso. Nonostante il salto, Apple stima che circa un quarto di tutti i dispositivi attivi esegua ancora iOS 18 o versioni precedenti.

Chiarito questo, torniamo a DarkSword. La ricerca mostra che questo malware infetta le vittime quando queste visitano siti Web perfettamente legittimi in cui è stato iniettato codice dannoso. Lo spyware si installa da solo senza alcuna interazione da parte dell’utente: è sufficiente aprire una pagina compromessa. Questa è la cosiddetta tecnica di infezione zero-click. I ricercatori riferiscono che diverse migliaia di dispositivi sono già stati colpiti in questo modo.

Per compromettere un dispositivo, DarkSword usa una catena di exploit a sei vulnerabilità per sfuggire alla sandbox, aumentare i privilegi ed eseguire codice. Una volta entrato, il malware raccoglie i dati dal dispositivo infetto, tra cui:

  • Password
  • Foto
  • Chat e dati da iMessage, WhatsApp e Telegram
  • Cronologia del browser
  • Informazioni dalle app Calendario, Note e Salute

In aggiunta a tutto questo, DarkSword consente di rubare dati relativi a wallet di criptovalute, essenzialmente rendendolo un malware a doppio scopo che funziona sia come strumento spia che come modo per drenare le criptovalute.

L’unica buona notizia è che lo spyware non sopravvive al riavvio. DarkSword è un malware senza file, il che significa che risiede nella RAM del dispositivo e non si incorpora mai nel file system.

Coruna: in che modo vengono prese di mira le versioni precedenti di iOS

Solo due settimane prima che i risultati di DarkSword diventassero pubblici, i ricercatori avevano segnalato un’altra minaccia contro iOS chiamata Coruna. Questo malware è in grado di compromettere i dispositivi che eseguono versioni di iOS meno recenti, in particolare dalla 13 alla 17.2.1. Coruna usa lo stesso identico manuale del piccolo hacker di DarkSword: le vittime visitano un sito legittimo in cui è stato iniettato codice dannoso, che quindi rilascia il malware nel dispositivo. L’intero processo è completamente invisibile e non richiede l’interazione dell’utente.

Un’analisi approfondita del codice di Coruna ha rivelato che questo sfrutta un totale di 23 diverse vulnerabilità di iOS, molte delle quali nascoste nel WebKit di Apple. È opportuno ricordare che in genere (al di fuori dell’UE) tutti i browser iOS devono usare il motore WebKit. Ciò significa che queste vulnerabilità non riguardano solo gli utenti di Safari, ma rappresentano una minaccia per chiunque usi un browser di terze parti sul proprio iPhone.

L’ultima versione di Coruna, proprio come DarkSword, include modifiche progettate per drenare i wallet di criptovalute. Raccoglie inoltre foto e, in alcuni casi, dati delle e-mail. Da quello che possiamo capire, il furto di criptovalute sembra essere il motivo principale alla base della diffusione capillare di Coruna.

Chi ha creato Coruna e DarkSword e come sono finiti in circolazione?

L’analisi del codice di entrambi gli strumenti suggerisce che Coruna e DarkSword sono stati probabilmente creati da sviluppatori diversi. Tuttavia, in entrambi i casi, stiamo esaminando software originariamente creato da società con qualche tipo di partecipazione statale, probabilmente statunitensi. È l’elevata qualità del codice a indicarlo: non sono semplici mostri di Frankenstein assemblati con parti casuali, ma exploit progettati in modo coerente. A un certo punto questi strumenti sono finiti nelle mani della criminalità informatica.

Gli esperti del GReAT di Kaspersky hanno analizzato tutti i componenti di Coruna e hanno confermato che questo kit di exploit è in realtà una versione aggiornata del framework usato nell’operazione Triangulation. Quell’attacco aveva preso di mira i dipendenti Kaspersky, una storia che abbiamo trattato in dettaglio in questo blog.

Una teoria suggerisce che un dipendente dell’azienda che ha sviluppato Coruna l’abbia venduta agli hacker. Da allora, il malware è stato usato per drenare i wallet di criptovalute appartenenti a utenti in Cina; gli esperti stimano che solo in quel paese siano stati infettati almeno 42.000 dispositivi.

Per quanto riguarda DarkSword, è stato già usato per compromettere utenti in Arabia Saudita, Turchia e Malesia. Il problema è esacerbato dal fatto che i primi aggressori a distribuire DarkSword hanno lasciato il codice sorgente completo sui siti Web infetti, che quindi potrebbe essere facilmente sfruttato da altri gruppi criminali.

Il codice include anche commenti dettagliati in inglese che illustrano cosa fa ciascun componente, il che supporta la teoria delle sue origini occidentali. Con queste istruzioni dettagliate altri hacker possono adattare facilmente lo strumento ai propri scopi.

Come proteggersi da Coruna e DarkSword

Il malware che infetta gli iPhone in massa senza interazione da parte degli utenti è finito nelle mani di una platea sostanzialmente illimitata di criminali informatici. Per incappare in Coruna o DarkSword è sufficiente visitare il sito sbagliato al momento sbagliato. Questo è perciò uno di quei casi in cui ogni utente, non solo chi rientra in gruppi ad alto rischio, deve prendere sul serio la sicurezza in iOS.

La cosa migliore per proteggersi da Coruna e DarkSword è aggiornare i dispositivi alla versione più recente di iOS o iPadOS 26 il prima possibile. Se non è possibile eseguire l’aggiornamento alla versione software più recente, ad esempio se il dispositivo è vecchio e non supporta iOS 26, è comunque necessario installare la versione più recente disponibile. In particolare le versioni 15.8.7, 16.7.15 o 18.7.7. Cosa rara, Apple ha applicato patch a una vasta gamma di sistemi operativi precedenti.

Per proteggere i dispositivi Apple da malware simili che potrebbero apparire in futuro, consigliamo quanto segue:

  • Installa gli aggiornamenti tempestivamente su tutti i dispositivi Apple. L’azienda rilascia regolarmente versioni del sistema operativo che risolvono le vulnerabilità note: non ingnorarle.
  • Abilita miglioramenti della protezione in background. Questa funzionalità consente al dispositivo di ricevere correzioni critiche per la sicurezza separatamente dagli aggiornamenti di iOS, stringendo la finestra temporale utile agli hacker per sfruttare le vulnerabilità. Per abilitarlo, vai a ImpostazioniPrivacy e sicurezzaMiglioramenti della sicurezza in background e attiva l’opzione Installa automaticamente.
  • Considera l’uso della Modalità di blocco. Si tratta di un’impostazione di protezione avanzata che limita alcune funzionalità del dispositivo ma contemporaneamente blocca o complica notevolmente gli attacchi. Per abilitarlo, vai a ImpostazioniPrivacy e sicurezzaModalità bloccoAttiva modalità blocco.
  • Riavvia il dispositivo una volta al giorno (o più). Questo blocca i malware senza file in quanto questo tipo di minacce non viene incorporato nel sistema e scompare dopo il riavvio.
  • Usa l’archiviazione criptata per i dati sensibili. Conserva elementi come chiavi di wallet, foto dei documenti di identificazione e informazioni riservate in un deposito sicuro. Kaspersky Password Manager in questo è perfetto: gestisce le password, i token di autenticazione a due fattori e le passkey su tutti i dispositivi, mantenendo al contempo note, foto e documenti sincronizzati e criptati.

L’idea che i dispositivi Apple siano inattaccabili è un falso mito. Sono vulnerabili agli attacchi zero-click, ai trojan e alle tecniche di infezione ClickFix; abbiamo anche visto app dannose entrare nell’App Store più di una volta. Ulteriori informazioni:

Consigli
  • Tutti gli altri paesi