Pommes potes, mais pommes pourries

Il y a 15 jours, on apprenait la découverte d’un puissant logiciel espion infectant les iPhone visitant des sites web contaminés, Coruna, utilisé par une entité liée au renseignement russe et des cybercriminels chinois. DarkSword, utilisé par cette même unité russe, avait quant à lui précédemment été exploité en Arabie saoudite, en Turquie et en Malaisie.

Des chercheurs d’iVerify, Lookout et du Google Threat Intelligence Group (GTIG) viennent conjointement de publier des rapports circonstanciés au sujet d’un logiciel malveillant particulièrement sophistiqué ciblant des iPhone.

Surnommé DarkSword, il a été utilisé sur des sites Web infectés afin de « pirater instantanément et silencieusement les appareils iOS qui visitent ces sites », sans autre interaction avec l’utilisateur, sur le modèle de l’attaque de point d’eau (Watering Hole Attack en VO), résume Wired.

Alors que l’espiogiciel Coruna, dévoilé plus tôt ce mois-ci et utilisé par des espions russes et cybercriminels chinois, fonctionnait sur les versions iOS 13 à 17, DarkSword cible la plupart des versions d’iOS 18, la version précédente du système d’exploitation mobile d’Apple. Sortie en 2024, elle représente encore près d’un quart des iPhones le mois dernier selon les propres calculs d’Apple, près de 20 % d’après StatCounter.

• Des espions russes et cybercriminels chinois ont récupéré un spyware iPhone lié à la NSA

DarkSword exploite six vulnérabilités différentes pour déployer ses charges utiles, résume le GTIG, qui a identifié trois familles distinctes de logiciels malveillants déployées à la suite d’une intrusion réussie de DarkSword : GHOSTBLADE, GHOSTKNIFE et GHOSTSABER.

Contrairement à Coruna, DarkSword ne prend en charge qu’un ensemble limité de versions d’iOS (18.4 à 18.7), et « bien que les différentes étapes de l’exploitation soient techniquement sophistiquées, les mécanismes utilisés pour charger les exploits étaient plus rudimentaires et moins robustes que ceux de Coruna », relève Google.

Lookout Threat Labs évoque « une chaîne d’exploitation iOS complète » qui « vise à extraire un ensemble complet d’informations personnelles, y compris les identifiants de l’appareil et cible spécifiquement une multitude d’applications de portefeuilles cryptographiques, ce qui laisse supposer que l’auteur de la menace est motivé par des raisons financières ».

Les plateformes d’échange de cryptoactifs ciblées par DarkSword comprennent notamment Coinbase, Binance, Kraken, Kucoin, Okx, Mexc. Il cible également des portefeuilles tels que Ledger, Trezor, Metamask, Exodus, Uniswap, Phantom, Gnosis Safe, entre autres.

Lookout et GTIG précisent que DarkSword est aussi conçu pour voler d’énormes volumes de données sur les iPhone vulnérables, dont les mots de passe, cookies, SMS, e-mails, photos (y compris cachées), la liste des applications installées, les journaux d’iMessage, WhatsApp et Telegram, l’historique du navigateur, de la géolocalisation et des appels téléphoniques, les données de l’iCloud Drive, du calendrier et des Notes, et même celles de l’application Santé d’Apple.

Ces kits d’exploits sophistiqués, « généralement extrêmement coûteux, sont souvent perçus comme une technologie réservée aux acteurs soutenus par des États et aux entreprises qui développent des outils pour les forces de l’ordre et les services de renseignement », rappelle Lookout :

« Il est à noter que DarkSword semble adopter une approche de type « coup de poing » en collectant et en exfiltrant les données ciblées de l’appareil en quelques secondes ou, au maximum, quelques minutes, avant de procéder à un nettoyage. »

Trois versions différentes exploitées par trois acteurs dans quatre pays

Après la découverte de Coruna, les chercheurs de Lookout racontent avoir entrepris d’analyser l’infrastructure malveillante associée aux acteurs malveillants chinois et russes qui l’avaient exploité.