darksword - RunkIntel

# DarkSword > [!danger] Exploit Kit iOS > Kit de exploits direcionado específicamente ao iOS, explorando vulnerabilidades zero-day e N-day para comprometimento de dispositivos Apple. Foco em alvos de alto valor como executivos e figuras governamentais. ## Visão Geral **DarkSword** é um exploit kit direcionado à plataforma iOS. Diferente da maioria das ferramentas de ataque que focam em Windows ou Android, o DarkSword é especializado em explorar vulnerabilidades no ecossistema Apple, incluindo iOS e iPadOS. O kit é comercializado em mercados criminosos e representa uma evolução na acessibilidade de exploits iOS - historicamente disponíveis apenas para atores estado-nação ou grupos altamente sofisticados devido ao alto custo de desenvolvimento de exploits para a plataforma Apple. ## Características Técnicas - **Plataforma alvo:** iOS / iPadOS - **Tipo:** Exploit kit com foco em vulnerabilidades iOS - **Vetor de distribuição:** Drive-by download, links de phishing, perfis MDM maliciosos - **Capacidades:** Exploração de vulnerabilidades de browser (Safari/WebKit), escalação de privilégios iOS - **Modelo:** Comercializado em fóruns criminosos (escopo e preço não divulgados) ## TTPs | Técnica | Descrição | |---------|-----------| | [[t1203-exploitation-for-client-execution\|T1203]] | Exploração de vulnerabilidades iOS (WebKit, kernel) | | [[t1189-drive-by-compromise\|T1189]] | Comprometimento via links maliciosos em mensagens | | [[t1036-masquerading\|T1036]] | Disfarce como páginas e conteúdo legítimo | | [[t1566-phishing\|T1566]] | Spear-phishing com links para páginas de exploração | | [[t1518-software-discovery\|T1518]] | Fingerprinting da versão iOS para seleção do exploit | ## Contexto Exploit kits para iOS são significativamente mais raros e valiosos que aqueles para Android ou Windows, devido ao modelo de segurança mais restritivo da Apple: - **Mercado de exploits iOS:** Vulnerabilidades iOS alcançam até $2.5 milhões no Zerodium - **Barreira técnica:** Desenvolvimento de exploits iOS requer expertise altamente especializada - **Usuários alvo:** Principalmente alvos de alto valor (executivos, jornalistas, governantes) Ferramentas similares de exploração iOS incluem o [[pegasus|Pegasus]] (NSO Group) e o [[triangulation|Operation Triangulation]] (APT do GRU/FSB), ambos documentados como ameaças persistentes avançadas. ## Mitigações > [!tip] Defesas para iOS > - Manter iOS atualizado para a versão mais recente (patches de segurança) > - Habilitar **Lockdown Mode** para alvos de alto risco (jornalistas, ativistas, executivos) > - Evitar clicar em links suspeitos recebidos por SMS, iMessage ou e-mail > - Usar **iMazing** ou Amnesty Tech Mobile Verification Toolkit para detecção de comprometimento ## Setores Afetados - [[setor-governo|Governo]] - Funcionários governamentais e diplomatas (alvo primário) - [[setor-financeiro|Financeiro]] - Executivos de alto valor - [[setor-tecnologia|Tecnologia]] - Pesquisadores de segurança e executivos tech ## Referências - [Apple Security Research - iOS Vulnerability Advisories](https://support.apple.com/en-us/111900) - [Citizen Lab - iOS Exploit Research](https://citizenlab.ca/) - [Zerodium - iOS Exploit Market](https://zerodium.com/program.html)