SlowMist confirma ataques en la naturaleza de DarkSword; los usuarios de iOS 15 o superior de Apple deben actualizarse

El 15 de mayo, el cofundador de SlowMist, Yu Xuan, confirmó en X que el marco de ataque iOS de alto riesgo DarkSword ya se ha filtrado públicamente a través de canales como GitHub y se está utilizando para llevar a cabo ataques masivos de robo de secretos dirigidos a titulares de carteras de criptomonedas. Los ataques tienen como objetivo dispositivos de Apple que ejecuten iOS 18.4 a 18.7. Apple confirmó que los usuarios de iOS 13 o iOS 14 deben actualizar a iOS 15 para quedar protegidos.

Mecanismo del ataque DarkSword: escenarios confirmados por Yu Xuan

Según la confirmación de Yu Xuan en su publicación de X, los escenarios de ataque de DarkSword son los siguientes：

Supuestos del ataque (sin necesidad de cerrar la página maliciosa)： La víctima usa el navegador Safari para acceder a páginas web maliciosas de los siguientes tipos y mantenerlas abiertas：

· Páginas web de supuestas transmisiones en vivo para adultos

· Páginas web de estaciones de energía de Tron (TRON)

· Páginas web que imitan un proceso de reembolso

· Páginas web que imitan alertas de vulnerabilidades

Disparador del ataque： Mientras la página maliciosa está abierta en Safari, si la víctima desbloquea la aplicación de la cartera de criptomonedas, el código JavaScript malicioso puede robar la clave privada en texto plano y las frases mnemotécnicas de la cartera, y enviarlas de inmediato al atacante.

Yu Xuan confirmó: “Ya he obtenido algunas muestras de ataques en el campo”, y señaló que SlowMist “decidirá según el caso si divulga” más detalles técnicos.

Qué usuarios ya están protegidos y qué se debe hacer de inmediato

Según documentos de soporte oficiales de Apple:

Ya protegidos (sin acciones adicionales)： Dispositivos con iOS 15 a iOS 26 que tengan instaladas las últimas actualizaciones

Se requiere acción inmediata：

· Dispositivos con iOS 18.4 a 18.7 que aún no hayan instalado las últimas actualizaciones de seguridad: instale la actualización de inmediato en “Configuración” > “General” > “Actualización de software”

· Dispositivos con iOS 13 o iOS 14: deben actualizar a iOS 15 para obtener protección

Medidas de seguridad adicionales (confirmación oficial de Apple)：

· La función “Navegación segura” de Safari (activada de forma predeterminada) puede bloquear los dominios URL maliciosos identificados

· Para usuarios de alto riesgo o para quienes no pueden actualizar el dispositivo, Apple recomienda habilitar “Modo de bloqueo (Lockdown Mode)”

En sus documentos de soporte, Apple indica explícitamente: “Si ha actualizado el software de su iPhone a la versión más reciente, entonces su dispositivo ya está protegido.”

Preguntas frecuentes

¿El ataque DarkSword requiere que el usuario realice alguna acción específica de forma activa para activarse?

Según la confirmación de Yu Xuan, basta con que la víctima use el navegador Safari para acceder a una página web maliciosa y mantener la página abierta; después, sin cerrar la página, al desbloquear la aplicación de la cartera de criptomonedas, la clave privada puede ser robada. No se requiere que el usuario haga clic en ninguna acción específica.

¿Cómo pueden los usuarios de iOS 13 o iOS 14 obtener protección?

Según la documentación oficial de soporte de Apple, los usuarios de iOS 13 o iOS 14 deben actualizar a iOS 15 (o una versión superior) para obtener protección contra DarkSword. Apple ha publicado actualizaciones de seguridad para iOS 15 e iOS 16, proporcionando protección adicional para dispositivos antiguos que no pueden actualizarse a la versión más reciente.

Si no se puede actualizar el dispositivo, ¿qué medidas de protección alternativas existen?

Según la recomendación oficial de Apple, para los usuarios que no pueden actualizar el dispositivo, Apple sugiere habilitar “Modo de bloqueo (Lockdown Mode)” para evitar contenido web malicioso y otras amenazas. Además, confirmar que la función “Navegación segura” en Safari (activada de forma predeterminada) esté habilitada, ya que puede bloquear algunos dominios maliciosos identificados.