Bộ Công Cụ Gián Điệp DarkSword Khai Thác Chuỗi 6 Lỗ Hổng Để Kiểm Soát Hoàn Toàn iPhone

Các nhà nghiên cứu từ Google Threat Intelligence Group (GTIG), iVerify và Lookout vừa bóc trần toàn bộ cách thức hoạt động của DarkSword. Bộ công cụ này đang đe dọa hàng trăm triệu chiếc iPhone bằng cách sử dụng một chuỗi khai thác cực kỳ tinh vi, nhắm thẳng vào những người dùng chưa kịp cập nhật phần mềm.

Sức mạnh tàn phá từ chuỗi 6 lỗ hổng liên hoàn

Thay vì chỉ dựa vào một điểm yếu duy nhất, DarkSword là một "bộ combo" tấn công toàn diện.

• Mã độc này xâu chuỗi 6 lỗ hổng bảo mật khác nhau trên iOS để từng bước đâm thủng hệ thống.

• Đáng sợ hơn, trong số đó có tới 3 lỗ hổng Zero-day (những lỗi Apple chưa từng biết đến trước khi bị khai thác).

• Bộ công cụ này nhắm mục tiêu trực tiếp vào các thiết bị Apple đang chạy hệ điều hành từ iOS 18.4 đến 18.7.

Kịch bản tàng hình "Đánh nhanh, rút gọn" (Hit-and-Run)

Khác với các ứng dụng lừa đảo đòi hỏi bạn phải cấp quyền phức tạp, DarkSword hoạt động hoàn toàn trong bóng tối:

1. Lây nhiễm không chạm (Zero-click/One-click): Nạn nhân chỉ cần vô tình truy cập vào một trang web bị cài cắm mã độc thông qua trình duyệt Safari. Mã JavaScript của DarkSword sẽ tự động thực thi, chiếm quyền thực thi mã từ xa (RCE), thoát khỏi "hộp cát" an toàn (sandbox) và giành luôn quyền lõi (kernel) của thiết bị.

2. Vét sạch dữ liệu: Ngay khi làm chủ thiết bị, nó sẽ lập tức trích xuất hàng loạt thông tin nhạy cảm bao gồm: mật khẩu, ảnh, tin nhắn WhatsApp/Telegram, lịch sử duyệt web, dữ liệu Apple Health, và đặc biệt là nhắm tới các ứng dụng ví tiền điện tử.

3. Xóa dấu vết: Nó áp dụng chiến thuật "hit-and-run". Toàn bộ quá trình thu thập và gửi dữ liệu về máy chủ của hacker chỉ diễn ra trong vài giây hoặc tối đa là vài phút. Sau khi hoàn tất, nó sẽ tự động dọn dẹp mọi tệp tin rác để xóa sạch dấu vết lây nhiễm.

Khi vũ khí tình báo rò rỉ ra "chợ đen"

Sự nguy hiểm của DarkSword đã leo thang đến mức báo động đỏ vì sự phát tán mất kiểm soát của nó:

• Ban đầu, đây là công cụ độc quyền được sử dụng bởi các nhóm tin tặc do nhà nước bảo trợ (như UNC6353 của Nga) và các công ty gián điệp thương mại (như PARS Defense) nhằm mục đích theo dõi mục tiêu tại Ukraine, Ả Rập Xê Út, Thổ Nhĩ Kỳ và Malaysia.

• Tuy nhiên, gần đây mã nguồn của DarkSword đã bị rò rỉ công khai trên nền tảng GitHub. Điều này đồng nghĩa với việc bất kỳ tội phạm mạng nào giờ đây cũng có thể dễ dàng sao chép và triển khai hệ thống mã độc này mà không cần kiến thức lập trình chuyên sâu ("out of the box").

2 Lớp "Khiên chắn" buộc phải thiết lập ngay

Với việc vũ khí này đã rơi vào tay các nhóm tội phạm thông thường, việc bảo vệ điện thoại không còn là chuyện có thể trì hoãn:

• Cập nhật hệ điều hành (Bắt buộc): Apple đã phát hành các bản vá để chặn đứng hoàn toàn chuỗi khai thác này. Các chuyên gia bảo mật khuyến cáo người dùng phải cập nhật thiết bị lên phiên bản iOS 26.3.1 hoặc 18.7.6 (đối với các dòng máy cũ hơn) ngay lập tức.

• Dùng Chế độ phong tỏa (Lockdown Mode): Nếu bạn là người nắm giữ các dữ liệu kinh doanh/chính trị cực kỳ quan trọng hoặc đang bị nhắm mục tiêu, hãy kích hoạt ngay Chế độ phong tỏa trên iPhone. Tính năng này sẽ vô hiệu hóa các luồng xử lý web phức tạp, bẻ gãy môi trường hoạt động của DarkSword.

DarkSword là minh chứng cho thấy một cú nhấp chuột nhẹ nhàng vào một trang web sai lầm cũng đủ để trao toàn bộ bí mật đời tư của bạn cho kẻ gian.

Hương -Theo TheHackerNews