הכירו את DarkSword – רוגלה חדשה הפוגעת במאות מיליוני משתמשי אייפון

19.03.2026, 09:07
רוגלת Darksword תמונה באמצעות Gemini

⭐ נקודות עיקריות

  • חוקרי אבטחה חושפים רוגלת אייפון חדשה בשם DarkSword הפוגעת במאות מיליוני מכשירים.
  • התקיפה מבוצעת דרך אתרים נגועים, בין היתר באוקראינה, ומיוחסת למספר גופי ריגול ופשיעה.
  • הרוגלה חומקת מארגז החול של הדפדפן ומשתלטת על המערכת כדי לגנוב מידע וארנקי קריפטו.
  • חברת אפל חסמה את הגישה לכתובות הזדוניות דרך מנגנון הגלישה הבטוחה בדפדפן הספארי.

חברות האבטחה Google, לוקאאוט (Lookout) ו-iVerify חשפו במשותף רוגלה (Spyware) חדשה שזכתה לשם DarkSword.

הרוגלה מתבססת על שש חולשות אבטחה שונות ומכוונת למכשירי ה-iPhone של חברת Apple המריצים את מערכת ההפעלה iOS מגרסה 18.4 עד 18.7, דבר החושף מאות מיליוני משתמשים. יש לכם מכשיר עם גרסה ישנה? עדכנו בהקדם.

החשיפה פורסמה בעקבות זיהוי קמפיינים של תקיפה נגד משתמשים ברחבי העולם, בין היתר באוקראינה, טורקיה, מלזיה וסעודיה.

על פי ההערכות שפורסמו על ידי חברות האבטחה, בין 220 ל-270 מיליון מכשירים ברחבי העולם עדיין מריצים גרסאות אלו וחשופים לפגיעה.

לדברי החוקרים, מדובר בפעם השנייה החודש בה נחשפת רוגלה מתקדמת למכשירי אפל, לאחר חשיפת רוגלת Coruna בתחילת חודש מרץ.

ממצאי החקירה מעידים על שוק הולך וגדל לכלים זדוניים מתוחכמים, שבעבר היו נחלתם של ארגוני ביון מדינתיים בלבד וכעת מגיעים גם לידי גורמי פשיעה בעלי מניע פיננסי.

מאפיינים עיקריים ויכולות הרוגלה

הרוגלה מבוססת על שפת התכנות ג’אווה סקריפט (JavaScript). היא אוספת ומוציאה מידע רב מהמכשיר המותקף בתוך דקות ספורות.

לאחר סיום פעולת הגניבה, התוכנה מוחקת את עקבותיה מזיכרון המכשיר כדי להקשות על גילויה.

על פי הדיווחים, המידע הנגנב כולל היסטוריית מיקומים, הודעות, סיסמאות שמורות, נתוני גלישה, תמונות ורשימות אנשי קשר.

בנוסף, חוקרי האבטחה מציינים כי הרוגלה מחפשת באופן ספציפי אפליקציות של ארנקי קריפטו, נתון המדגיש את המניע הכלכלי שמאחורי התקיפות.

ציר זמנים לפרצות האבטחה (מקור גוגל)
ציר זמנים לפרצות האבטחה (מקור גוגל)

אופן הפעולה וההפצה

שרשרת התקיפה של DarkSword מורכבת מניצול של שש חולשות אבטחה שונות, החל מדפדפן Safari ועד לליבת מערכת ההפעלה המעניקה הרשאות גישה מלאות למכשיר.

ההדבקה מתבצעת לרוב באמצעות שתילת קוד זדוני נסתר באתרים לגיטימיים, כאשר עשרות אתרים באוקראינה זוהו כמוקדי הדבקה מרכזיים.

חוקרי גוגל מציינים כי זיהו שימוש ברוגלה על ידי מספר ספקיות ריגול מסחריות וגורמים מדינתיים, בהן חברת PARS Defense הטורקית.

כמו כן, חוקרי iVerify מציינים כי שרתי התקיפה של DarkSword זהים לאלו ששימשו את מפעילי רוגלת Coruna, אשר מיוחסים לגורמים רוסיים.

החוקרים מעריכים כי הפצת הרוגלה התגלתה עקב טעויות אבטחה תפעוליות מצד התוקפים.

לדבריהם, טעויות אלו מעידות על כך שהתוקפים אינם חוששים מחשיפת כלי התקיפה ומתמקדים בהדבקות המוניות במקום בתקיפות ממוקדות וחשאיות.

זמינות ולוחות זמנים

דובר מטעם חברת אפל מסר כי חולשות האבטחה שנוצלו על ידי הרוגלה תוקנו במסגרת עדכוני תוכנה ששוחררו למשתמשים, ומיועדות למכשירים המריצים תוכנה לא מעודכנת.

החברה מציינת כי הצעד החשוב ביותר לשמירה על אבטחת המכשירים הוא עדכון מערכת ההפעלה לגרסאות העדכניות ביותר.

החברה מוסיפה כי כל הכתובות הזדוניות שזוהו על ידי גוגל נחסמו לגישה באמצעות מנגנון הגלישה הבטוחה המשולב בדפדפן המובנה של המכשירים, על מנת למנוע מקרי הדבקה נוספים בעתיד.

מקור: google, lookout, iverify
השוואת מפרטים
ביטול השוואה