{"id":30629,"date":"2026-04-28T14:37:53","date_gmt":"2026-04-28T12:37:53","guid":{"rendered":"https:\/\/www.kaspersky.it\/blog\/?p=30629"},"modified":"2026-04-28T15:18:02","modified_gmt":"2026-04-28T13:18:02","slug":"ios-exploits-darksword-and-coruna-in-mass-attacks","status":"publish","type":"post","link":"https:\/\/www.kaspersky.it\/blog\/ios-exploits-darksword-and-coruna-in-mass-attacks\/30629\/","title":{"rendered":"iPhone e la fine dell&#8217;invincibilit\u00e0: uno sguardo a DarkSword e Coruna"},"content":{"rendered":"<p>DarkSword e Coruna sono due nuovi strumenti per sferrare attacchi invisibili nei dispositivi iOS. Non richiedono l\u2019interazione dell\u2019utente e sono attivamente in uso da parte di malintenzionati. Prima che queste minacce emergessero, la maggior parte degli utenti di iPhone non perdeva il sonno per la sicurezza dei dati. Tale preoccupazione era limitata a un ristretto gruppo (politici, attivisti, diplomatici, dirigenti aziendali di alto livello e altri gestori di dati estremamente sensibili) che poteva essere preso di mira da agenzie di intelligence straniere. Abbiamo gi\u00e0 <a href=\"https:\/\/www.kaspersky.com\/blog\/predator-spyware-ios-recording-indicator-bypass\/55463\/\" target=\"_blank\" rel=\"noopener nofollow\">parlato di spyware sofisticati<\/a> usati contro questi soggetti, facendo notare quanto fosse difficile mettervi mano.<\/p>\n<p>Ma DarkSword e Coruna, scoperti dai ricercatori all\u2019inizio di quest\u2019anno, stanno cambiando le carte in tavola. Questi malware vengono usati per infettare gli utenti in massa. In questo post analizziamo il motivo per cui si \u00e8 verificato questo cambio di passo, perch\u00e9 questi strumenti sono cos\u00ec pericolosi e cosa fare per rimanere protetti.<\/p>\n<h2>Cosa sappiamo di DarkSword e come pu\u00f2 prendere di mira gli iPhone<\/h2>\n<p>A met\u00e0 marzo 2026 tre distinti team di ricerca hanno coordinato la <a href=\"https:\/\/www.wired.com\/story\/hundreds-of-millions-of-iphones-can-be-hacked-with-a-new-tool-found-in-the-wild\/\" target=\"_blank\" rel=\"noopener nofollow\">pubblicazione dei risultati su un nuovo ceppo di spyware<\/a> chiamato DarkSword. Questo strumento \u00e8 in grado di hackerare silenziosamente i dispositivi che eseguono iOS 18 senza che l\u2019utente si accorga che qualcosa non va.<\/p>\n<p>Innanzitutto, dovremmo chiarire un po\u2019 di confusione: iOS 18 non \u00e8 vintage come potrebbe sembrare. Anche se <a href=\"https:\/\/it.wikipedia.org\/wiki\/IOS_26\" target=\"_blank\" rel=\"noopener nofollow\">la versione pi\u00f9 recente \u00e8 iOS 26<\/a>, Apple ha recentemente revisionato il proprio sistema di controllo delle versioni, che ha sbalordito tutti. Ha deciso di anticipare otto versioni, dalla 18 direttamente alla 26, in modo che il numero del sistema operativo corrisponda all\u2019anno in corso. Nonostante il salto, Apple stima che <a href=\"https:\/\/developer.apple.com\/support\/app-store\/\" target=\"_blank\" rel=\"noopener nofollow\">circa un quarto di tutti i dispositivi attivi esegua ancora iOS 18 o versioni precedenti<\/a>.<\/p>\n<p>Chiarito questo, torniamo a DarkSword. La ricerca mostra che questo malware infetta le vittime quando queste visitano siti Web perfettamente legittimi in cui \u00e8 stato iniettato codice dannoso. Lo spyware si installa da solo senza alcuna interazione da parte dell\u2019utente: \u00e8 sufficiente aprire una pagina compromessa. Questa \u00e8 la cosiddetta tecnica di infezione zero-click. I ricercatori riferiscono che diverse migliaia di dispositivi sono gi\u00e0 stati colpiti in questo modo.<\/p>\n<p>Per compromettere un dispositivo, DarkSword usa una catena di exploit a sei vulnerabilit\u00e0 per sfuggire alla sandbox, aumentare i privilegi ed eseguire codice. Una volta entrato, il malware raccoglie i dati dal dispositivo infetto, tra cui:<\/p>\n<ul>\n<li>Password<\/li>\n<li>Foto<\/li>\n<li>Chat e dati da iMessage, WhatsApp e Telegram<\/li>\n<li>Cronologia del browser<\/li>\n<li>Informazioni dalle app Calendario, Note e Salute<\/li>\n<\/ul>\n<p>In aggiunta a tutto questo, DarkSword consente di rubare dati relativi a wallet di criptovalute, essenzialmente rendendolo un malware a doppio scopo che funziona sia come strumento spia che come modo per drenare le criptovalute.<\/p>\n<p>L\u2019unica buona notizia \u00e8 che lo spyware non sopravvive al riavvio. DarkSword \u00e8 un malware senza file, il che significa che risiede nella RAM del dispositivo e non si incorpora mai nel file system.<\/p>\n<h2>Coruna: in che modo vengono prese di mira le versioni precedenti di iOS<\/h2>\n<p>Solo due settimane prima che i risultati di DarkSword diventassero pubblici, i ricercatori avevano segnalato un\u2019altra minaccia contro iOS chiamata <a href=\"https:\/\/www.wired.com\/story\/coruna-iphone-hacking-toolkit-us-government\/\" target=\"_blank\" rel=\"noopener nofollow\">Coruna<\/a>. Questo malware \u00e8 in grado di compromettere i dispositivi che eseguono versioni di iOS meno recenti, in particolare dalla 13 alla 17.2.1. Coruna usa lo stesso identico manuale del piccolo hacker di DarkSword: le vittime visitano un sito legittimo in cui \u00e8 stato iniettato codice dannoso, che quindi rilascia il malware nel dispositivo. L\u2019intero processo \u00e8 completamente invisibile e non richiede l\u2019interazione dell\u2019utente.<\/p>\n<p>Un\u2019analisi approfondita del codice di Coruna ha rivelato che questo sfrutta un totale di 23 diverse vulnerabilit\u00e0 di iOS, molte delle quali nascoste nel WebKit di Apple. \u00c8 opportuno ricordare che in genere (al di fuori dell\u2019<a href=\"https:\/\/developer.apple.com\/support\/alternative-browser-engines\/\" target=\"_blank\" rel=\"noopener nofollow\">UE<\/a>) tutti i browser iOS devono usare il motore WebKit. Ci\u00f2 significa che queste vulnerabilit\u00e0 non riguardano solo gli utenti di Safari, ma rappresentano una minaccia per chiunque usi un browser di terze parti sul proprio iPhone.<\/p>\n<p>L\u2019ultima versione di Coruna, proprio come DarkSword, include modifiche progettate per drenare i wallet di criptovalute. Raccoglie inoltre foto e, in alcuni casi, dati delle e-mail. Da quello che possiamo capire, il furto di criptovalute sembra essere il motivo principale alla base della diffusione capillare di Coruna.<\/p>\n<h2>Chi ha creato Coruna e DarkSword e come sono finiti in circolazione?<\/h2>\n<p>L\u2019analisi del codice di entrambi gli strumenti suggerisce che Coruna e DarkSword sono stati probabilmente creati da sviluppatori diversi. Tuttavia, in entrambi i casi, stiamo esaminando software originariamente creato da societ\u00e0 con qualche tipo di partecipazione statale, probabilmente statunitensi. \u00c8 l\u2019elevata qualit\u00e0 del codice a indicarlo: non sono semplici mostri di Frankenstein assemblati con parti casuali, ma exploit progettati in modo coerente. A un certo punto questi strumenti sono finiti nelle mani della criminalit\u00e0 informatica.<\/p>\n<p>Gli esperti del GReAT di Kaspersky hanno analizzato tutti i componenti di Coruna e hanno confermato che questo kit di exploit \u00e8 in realt\u00e0 <a href=\"https:\/\/securelist.com\/coruna-framework-updated-operation-triangulation-exploit\/119228\/\" target=\"_blank\" rel=\"noopener\">una versione aggiornata del framework usato nell\u2019operazione Triangulation<\/a>. Quell\u2019attacco aveva preso di mira i dipendenti Kaspersky, una <a href=\"https:\/\/www.kaspersky.com\/blog\/triangulation-37c3-talk\/50166\/\" target=\"_blank\" rel=\"noopener nofollow\">storia che abbiamo trattato in dettaglio in questo blog<\/a>.<\/p>\n<p>Una teoria suggerisce che un dipendente dell\u2019azienda che ha sviluppato Coruna <a href=\"https:\/\/techcrunch.com\/2026\/03\/10\/us-military-contractor-likely-built-iphone-hacking-tools-used-by-russian-spies-in-ukraine\/\" target=\"_blank\" rel=\"noopener nofollow\">l\u2019abbia venduta agli hacker<\/a>. Da allora, il malware \u00e8 stato usato per drenare i wallet di criptovalute appartenenti a utenti in Cina; gli esperti stimano che solo in quel paese siano stati infettati almeno 42.000 dispositivi.<\/p>\n<p>Per quanto riguarda DarkSword, \u00e8 stato gi\u00e0 usato per compromettere utenti in Arabia Saudita, Turchia e Malesia. Il problema \u00e8 esacerbato dal fatto che i primi aggressori a distribuire DarkSword hanno lasciato il codice sorgente completo sui siti Web infetti, che quindi potrebbe essere facilmente sfruttato da altri gruppi criminali.<\/p>\n<p>Il codice include anche commenti dettagliati in inglese che illustrano cosa fa ciascun componente, il che supporta la teoria delle sue origini occidentali. Con queste istruzioni dettagliate altri hacker possono adattare facilmente lo strumento ai propri scopi.<\/p>\n<h2>Come proteggersi da Coruna e DarkSword<\/h2>\n<p>Il malware che infetta gli iPhone in massa senza interazione da parte degli utenti \u00e8 finito nelle mani di una platea sostanzialmente illimitata di criminali informatici. Per incappare in Coruna o DarkSword \u00e8 sufficiente visitare il sito sbagliato al momento sbagliato. Questo \u00e8 perci\u00f2 uno di quei casi in cui ogni utente, non solo chi rientra in gruppi ad alto rischio, deve prendere sul serio la sicurezza in iOS.<\/p>\n<p>La cosa migliore per proteggersi da Coruna e DarkSword \u00e8 aggiornare i dispositivi alla versione pi\u00f9 recente di iOS o iPadOS 26 il prima possibile. Se non \u00e8 possibile eseguire l\u2019aggiornamento alla versione software pi\u00f9 recente, ad esempio se il dispositivo \u00e8 vecchio e non supporta iOS 26, \u00e8 comunque necessario installare la versione pi\u00f9 recente disponibile. In particolare le versioni <a href=\"https:\/\/support.apple.com\/it-it\/126632\" target=\"_blank\" rel=\"noopener nofollow\">15.8.7<\/a>, <a href=\"https:\/\/support.apple.com\/it-it\/126646\" target=\"_blank\" rel=\"noopener nofollow\">16.7.15<\/a> o <a href=\"https:\/\/support.apple.com\/it-it\/126793\" target=\"_blank\" rel=\"noopener nofollow\">18.7.7<\/a>. Cosa rara, Apple ha applicato patch a una vasta gamma di sistemi operativi precedenti.<\/p>\n<p>Per proteggere i dispositivi Apple da malware simili che potrebbero apparire in futuro, consigliamo quanto segue:<\/p>\n<ul>\n<li><strong>Installa gli aggiornamenti tempestivamente su tutti i dispositivi Apple. <\/strong>L\u2019azienda rilascia regolarmente versioni del sistema operativo che risolvono le vulnerabilit\u00e0 note: non ingnorarle.<\/li>\n<li><strong>Abilita miglioramenti della protezione in background.<\/strong> Questa funzionalit\u00e0 consente al dispositivo di ricevere correzioni critiche per la sicurezza separatamente dagli aggiornamenti di iOS, stringendo la finestra temporale utile agli hacker per sfruttare le vulnerabilit\u00e0. Per abilitarlo, vai a <em>Impostazioni<\/em> \u2192 <em>Privacy e sicurezza<\/em> \u2192 <em>Miglioramenti della sicurezza in background<\/em> e attiva l\u2019opzione <em>Installa automaticamente<\/em>.<\/li>\n<li><strong>Considera l\u2019uso della <\/strong><a href=\"https:\/\/www.kaspersky.it\/blog\/apple-lockdown-mode\/27142\/\" target=\"_blank\" rel=\"noopener\"><strong>Modalit\u00e0 di blocco<\/strong><\/a><strong>.<\/strong> Si tratta di un\u2019impostazione di protezione avanzata che limita alcune funzionalit\u00e0 del dispositivo ma contemporaneamente blocca o complica notevolmente gli attacchi. Per abilitarlo, vai a <em>Impostazioni<\/em> \u2192 <em>Privacy e sicurezza<\/em> \u2192 <em>Modalit\u00e0 blocco<\/em> \u2192 <em>Attiva modalit\u00e0 blocco<\/em>.<\/li>\n<li><strong>Riavvia il dispositivo una volta al giorno (o pi\u00f9).<\/strong> Questo blocca i malware senza file in quanto questo tipo di minacce non viene incorporato nel sistema e scompare dopo il riavvio.<\/li>\n<li><strong>Usa l\u2019archiviazione criptata per i dati sensibili.<\/strong> Conserva elementi come chiavi di wallet, foto dei documenti di identificazione e informazioni riservate in un deposito sicuro. <strong><a href=\"https:\/\/www.kaspersky.it\/password-manager?icid=it_kdailyplacehold_acq_ona_smm__onl_b2c_kasperskydaily_wpplaceholder____kpm___\" target=\"_blank\" rel=\"noopener\">Kaspersky Password Manager<\/a><\/strong>\u00a0in questo \u00e8 perfetto: gestisce le password, i token di autenticazione a due fattori e le passkey su tutti i dispositivi, mantenendo al contempo note, foto e documenti sincronizzati e criptati.<\/li>\n<\/ul>\n<blockquote><p>L\u2019idea che i dispositivi Apple siano inattaccabili \u00e8 un falso mito. Sono vulnerabili agli attacchi zero-click, ai trojan e alle tecniche di infezione ClickFix; abbiamo anche visto app dannose entrare nell\u2019App Store pi\u00f9 di una volta. Ulteriori informazioni:<\/p>\n<ul>\n<li><a href=\"https:\/\/www.kaspersky.com\/blog\/predator-spyware-ios-recording-indicator-bypass\/55463\/\" target=\"_blank\" rel=\"noopener nofollow\">Predator vs iPhone: l\u2019arte della sorveglianza invisibile<\/a><\/li>\n<li><a href=\"https:\/\/www.kaspersky.it\/blog\/airborne-wormable-zero-click-vulnerability-in-apple-airplay\/29677\/\" target=\"_blank\" rel=\"noopener\">AirBorne: attacchi ai dispositivi Apple tramite vulnerabilit\u00e0 in AirPlay<\/a><\/li>\n<li><a href=\"https:\/\/www.kaspersky.it\/blog\/whisperpair-blueooth-headset-location-tracking\/30415\/\" target=\"_blank\" rel=\"noopener\">Le tue cuffie Bluetooth ti spiano?<\/a><\/li>\n<li><a href=\"https:\/\/www.kaspersky.it\/blog\/ios-android-ocr-stealer-sparkcat\/29438\/\" target=\"_blank\" rel=\"noopener\">Il trojan stealer SparkCat si infiltra in App Store e Google Play, rubando i dati dalle foto<\/a><\/li>\n<li><a href=\"https:\/\/www.kaspersky.it\/blog\/banshee-stealer-targets-macos-users\/29464\/\" target=\"_blank\" rel=\"noopener\">Banshee: uno stealer che prende di mira gli utenti macOS<\/a><\/li>\n<\/ul>\n<\/blockquote>\n<input type=\"hidden\" class=\"category_for_banner\" value=\"kpm\">\n","protected":false},"excerpt":{"rendered":"<p>L&#8217;emergere di DarkSword e Coruna, due nuovi malware per iOS, mostra come gli strumenti di intelligence di un governo possono diventare armi nelle mani dei criminali informatici. Analizziamo come funzionano questi attacchi, perch\u00e9 sono pericolosi e come non farsi infettare.<\/p>\n","protected":false},"author":2726,"featured_media":30630,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[16,2641],"tags":[3,3935,3036,294,204,1067,3622,25,22,62,1103,584,3871],"class_list":{"0":"post-30629","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-tips","8":"category-threats","9":"tag-apple","10":"tag-browser-safari","11":"tag-criptovalute","12":"tag-exploit","13":"tag-ios","14":"tag-ipad","15":"tag-ipados","16":"tag-iphone","17":"tag-malware-2","18":"tag-password","19":"tag-spyware","20":"tag-vulnerabilita","21":"tag-zero-click"},"hreflang":[{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/ios-exploits-darksword-and-coruna-in-mass-attacks\/30629\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/ios-exploits-darksword-and-coruna-in-mass-attacks\/30414\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/ios-exploits-darksword-and-coruna-in-mass-attacks\/25463\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/ios-exploits-darksword-and-coruna-in-mass-attacks\/30261\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/ios-exploits-darksword-and-coruna-in-mass-attacks\/29149\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/ios-exploits-darksword-and-coruna-in-mass-attacks\/32029\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/ios-exploits-darksword-and-coruna-in-mass-attacks\/41717\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/ios-exploits-darksword-and-coruna-in-mass-attacks\/55622\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/ios-exploits-darksword-and-coruna-in-mass-attacks\/24925\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/ios-exploits-darksword-and-coruna-in-mass-attacks\/33422\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/ios-exploits-darksword-and-coruna-in-mass-attacks\/30568\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/ios-exploits-darksword-and-coruna-in-mass-attacks\/36148\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/ios-exploits-darksword-and-coruna-in-mass-attacks\/35799\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.it\/blog\/tag\/ios\/","name":"iOS"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/30629","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/users\/2726"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/comments?post=30629"}],"version-history":[{"count":2,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/30629\/revisions"}],"predecessor-version":[{"id":30632,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/30629\/revisions\/30632"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/media\/30630"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/media?parent=30629"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/categories?post=30629"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/tags?post=30629"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}