آیفون دیگر شکست‌ناپذیر نیست: نگاهی به بدافزارهای DarkSword و Coruna

هکرها با استفاده از ابزارهای لو رفته‌ی اطلاعاتی، کاربران عادی آیفون را هدف قرار می‌دهند

DarkSword  و Coruna دو ابزار جدید برای حملات نامرئی به دستگاه‌های iOS هستند. این حملات به هیچ تعاملی از سوی کاربر نیاز ندارند و در حال حاضر توسط عوامل مخرب در فضای واقعی در حال استفاده هستند. پیش از ظهور این تهدیدها، اکثر کاربران آیفون نگران امنیت داده‌های خود نبودند. حفاظت از اطلاعات عمدتاً دغدغه‌ی گروه محدودی بود؛ سیاستمداران، فعالان، دیپلمات‌ها و مدیران سطح بالا که با داده‌های بسیار حساس سر و کار داشتند و ممکن بود توسط آژانس‌های اطلاعاتی خارجی هدف قرار بگیرند. با این حال، DarkSword  وCoruna که اوایل امسال توسط محققان کشف شدند، قواعد بازی را کاملاً تغییر داده‌اند. این بدافزارها اکنون برای آلوده‌سازی انبوه کاربران عادی استفاده می‌شوند. در این مطلب، به بررسی علت این تغییر رویکرد، خطرات این ابزارها و راه‌های محافظت از خود می‌پردازیم.

درباره DarkSword چه می‌دانیم و چگونه آیفون شما را هدف قرار می‌دهد؟

در اواسط مارس ۲۰۲۶، سه تیم تحقیقاتی مختلف یافته‌های خود را درباره گونه‌ی جدیدی از جاسوس‌افزار به نام DarkSword  منتشر کردند. این ابزار قادر است بدون اینکه کاربر متوجه کوچک‌ترین مشکلی شود، دستگاه‌های دارای iOS 18  را به صورت مخفیانه هک کند.

ابتدا بگذارید یک سوءتفاهم را برطرف کنیم iOS 18 آنقدرها هم که به نظر می‌رسد قدیمی نیست. با وجود اینکه آخرین نسخه فعلیiOS 26  است، اپل اخیراً سیستم شماره‌گذاری نسخه‌های خود را تغییر داد که باعث سردرگمی همه شد. آن‌ها تصمیم گرفتند هشت نسخه به جلو بپرند (از ۱۸ مستقیم به ۲۶) تا شماره سیستم‌عامل با سال جاری میلادی مطابقت داشته باشد. با وجود این پرش، اپل برآورد می‌کند که هنوز حدود یک‌چهارم تمام دستگاه‌های فعال، از iOS 18 یا نسخه‌های قدیمی‌تر استفاده می‌کنند.

به DarkSword برگردیم؛ تحقیقات نشان می‌دهد این بدافزار زمانی قربانیان را آلوده می‌کند که آن‌ها از وب‌سایت‌های کاملاً قانونی که توسط هکرها به کدهای مخرب آلوده شده‌اند، بازدید کنند. این جاسوس‌افزار بدون هیچ تعاملی از سوی کاربر نصب می‌شود: فقط کافی است وارد یک صفحه آلوده شوید. این روش به عنوان تکنیک آلودگی صفر-کلیک (Zero-click) شناخته می‌شود. محققان گزارش داده‌اند که تاکنون چندین هزار دستگاه به این روش مورد حمله قرار گرفته‌اند.

برای نفوذ به دستگاه، DarkSword  از زنجیره‌ای از ۶ آسیب‌پذیری استفاده می‌کند تا از محیط ایزوله سیستم‌عامل (Sandbox) خارج شده، سطح دسترسی خود را بالا ببرد و کدهای مخرب را اجرا کند. پس از نفوذ، بدافزار شروع به جمع‌آوری داده‌ها می‌کند، از جمله:

• رمزهای عبور
• عکس‌ها
• چت‌ها و داده‌های iMessage، واتس‌اپ و تلگرام
• تاریخچه مرورگر
• اطلاعات تقویم، یادداشت‌ها و اپلیکیشن Health اپل

علاوه بر این‌ها،DarkSword  اطلاعات کیف پول‌های رمزارز را نیز سرقت می‌کند؛ این یعنی یک بدافزار دو منظوره است که هم به عنوان ابزار جاسوسی و هم وسیله‌ای برای تخلیه دارایی‌های دیجیتال شما عمل می‌کند. تنها خبر خوب این است که این جاسوس‌افزار با ری‌بوت (خاموش و روشن کردن) دستگاه از بین می‌رود؛ زیرا یک بدافزار بدون فایل (Fileless) است که در حافظه موقت (RAM) زندگی می‌کند و هرگز وارد فایل‌سیستم اصلی گوشی نمی‌شود.

Coruna  چگونه نسخه‌های قدیمی iOS هدف قرار می‌گیرند؟

تنها دو هفته قبل از انتشار یافته‌های DarkSword، محققان تهدید دیگری را به نامCoruna  شناسایی کردند. این بدافزار قادر است دستگاه‌هایی با نرم‌افزارهای قدیمی‌تر به‌ویژه iOS 13 تا 17.2.1 را هک کند. (Coruna)دقیقاً از همان استراتژی DarkSword استفاده می‌کند: بازدید از یک سایت قانونی آلوده شده که بدافزار را روی دستگاه تخلیه می‌کند. کل این فرآیند کاملاً نامرئی است و به هیچ کلیکی نیاز ندارد.

بررسی عمیق کدهای Coruna نشان داد که این بدافزار از ۲۳ آسیب‌پذیری مختلف iOS سوءاستفاده می‌کند که چندین مورد آن در موتور WebKit  اپل نهفته است. یادآوری این نکته ضروری است که (به جز در اتحادیه اروپا) تمام مرورگرهای iOS موظف به استفاده از موتور WebKit هستند. این یعنی این حفره‌ها فقط کاربران سافاری را تهدید نمی‌کنند، بلکه هر کسی که از مرورگرهای جانبی (مثل کروم یا فایرفاکس) روی آیفون استفاده می‌کند نیز در خطر است.

آخرین نسخه Coruna، مانند DarkSword، شامل تغییراتی برای تخلیه کیف پول‌های رمزارز است. همچنین عکس‌ها و در برخی موارد داده‌های ایمیل را جمع‌آوری می‌کند. طبق شواهد، به نظر می‌رسد سرقت ارزهای دیجیتال انگیزه اصلی پشت انتشار گسترده Coruna باشد.

چه کسی Coruna و DarkSword را ساخته و چگونه لو رفته‌اند؟

تحلیل کدهای هر دو ابزار نشان می‌دهد که احتمالاً توسط توسعه‌دهندگان متفاوتی ساخته شده‌اند. با این حال، در هر دو مورد، ما با نرم‌افزارهایی روبرو هستیم که در اصل توسط شرکت‌های وابسته به دولت‌ها (احتمالاً ایالات متحده) ساخته شده‌اند. کیفیت بالای کدها گواه این موضوع است؛ این‌ها کیت‌های سرهم‌بندی شده نیستند، بلکه اکسپلویت‌هایی با مهندسی دقیق هستند. در مقطعی از زمان، این ابزارها به دست باندهای جنایتکار سایبری لو رفته‌اند.

کارشناسان آزمایشگاه GReAT کسپرسکی با تحلیل اجزای Coruna تایید کردند که این کیت در واقع نسخه به‌روز شده‌ای از چارچوب مورد استفاده در عملیات مثلث‌بندی (Operation Triangulation) است؛ حمله‌ای که پیش از این کارمندان کسپرسکی را هدف قرار داده بود. یک تئوری می‌گوید یکی از کارکنان شرکتی که Coruna را توسعه داده، آن را به هکرها فروخته است. از آن زمان، این بدافزار برای تخلیه کیف پول‌های دیجیتال کاربران در چین استفاده شده و تخمین زده می‌شود که تنها در آنجا ۴۲ هزار دستگاه آلوده شده باشند.

در مورد DarkSword، مجرمان سایبری تاکنون کاربران را در عربستان سعودی، ترکیه و مالزی هدف قرار داده‌اند. مشکل زمانی بدتر شد که مهاجمان، سورس‌کد کامل DarkSword را روی وب‌سایت‌های آلوده جا گذاشتند؛ این یعنی هر گروه جنایتکار دیگری می‌تواند به راحتی آن را بردارد. همچنین کدها شامل توضیحات دقیق به زبان انگلیسی است که گام‌به‌گام نحوه عملکرد هر بخش را توضیح می‌دهد و تئوری منشأ غربی آن را تقویت می‌کند.

چگونه از خود در برابر Coruna و DarkSword محافظت کنیم؟

بدافزارهای خطرناکی که اجازه آلوده‌سازی انبوه آیفون‌ها را بدون نیاز به تعامل کاربر می‌دهند، اکنون در دست تعداد نامحدودی از مجرمان قرار گرفته‌اند. برای گرفتار شدن، فقط کافی است در زمان اشتباه از سایت اشتباه بازدید کنید. بنابراین، این یکی از آن مواردی است که هر کاربری (نه فقط افراد با ریسک بالا) باید امنیت iOS را جدی بگیرد.

بهترین کارهایی که می‌توانید انجام دهید:

1. به‌­روزرسانی فوری: دستگاه خود را در اسرع وقت به آخرین نسخه 26iOS  یا iPadOS به­‌روزرسانی کنید. اگر دستگاه شما قدیمی است و از نسخه ۲۶ پشتیبانی نمی‌کند، آخرین نسخه موجود برای خود را نصب کنید (به‌ویژه نسخه‌های 15.8.7، 16.7.15 یا 18.7.7. ) اپل در اقدامی کم‌سابقه، طیف وسیعی از سیستم‌‌های عامل‌ قدیمی را پچ کرده است.
2. فعال‌سازی بهبودهای امنیتی پس‌زمینه: این ویژگی به دستگاه اجازه می‌دهد اصلاحات امنیتی حیاتی را جدا از آپدیت‌های کلی دریافت کند. به مسیر زیر بروید: Settings → Privacy & Security → Background Security Improvements و گزینه نصب خودکار را روشن کنید.
3. استفاده از حالت محدودیت (Lockdown Mode):این یک تنظیم امنیتی فوق‌العاده بالاست که برخی ویژگی‌های دستگاه را محدود می‌کند اما همزمان حملات پیچیده را مسدود یا بسیار دشوار می‌کند.Settings → Privacy & Security → Lockdown Mode → Turn On
4. ری‌بوت روزانه: حداقل روزی یک بار گوشی را خاموش و روشن کنید. این کار بدافزارهای بدون فایل را متوقف می‌کند، چون آن‌ها در سیستم ماندگار نیستند و پس از ری‌ستارت ناپدید می‌شوند.
5. استفاده از فضای ذخیره‌سازی رمزنگاری شده: کلیدهای کیف پول رمزارز، عکس مدارک شناسایی و اطلاعات محرمانه را در یک گاوصندوق امن مثل Kaspersky Password Manager نگه دارید تا به صورت رمزنگاری شده محافظت شوند.